美國司法部、聯邦調查局(FBI)與海軍刑事調查處(NCIS)於本(3)月 5 日宣布,已起訴 12 名中國籍人士,包括中國公安部兩名官員、一家表面上為私營企業的中國公司「安洵信息技術有限公司」(i-Soon/Anxun)的員工,以及被稱為 APT27 的進階持續性威脅組織成員,他們被指控參與全球性惡意網路攻擊活動。
美國司法部、聯邦調查局(FBI)與海軍刑事調查處(NCIS)於本(3)月 5 日宣布,已起訴 12 名中國籍人士,包括中國公安部兩名官員、一家表面上為私營企業的中國公司「安洵信息技術有限公司」(i-Soon/Anxun)的員工,以及被稱為 APT27 的進階持續性威脅組織成員,他們被指控參與全球性惡意網路攻擊活動。
根據起訴書,這些惡意網路行為者作為自由接案者或安洵公司員工,在中國公安部(MPS)和國家安全部(MSS)的指示下進行電腦入侵活動。這兩個部門向駭客支付了高額報酬以獲取竊取的資訊。
FBI:向全世界揭露中國惡意行為 運用一切找出你們
美國司法部國家安全部門負責人 Sue J. Bai 表示:「司法部將不懈追究那些威脅我們網路安全、竊取政府和人民數據的人。今天,我們揭露了中國政府代理人如何策劃並支持全球範圍內無差別的惡意駭客攻擊,以及為其提供協助的企業與個人駭客。我們將繼續努力摧毀這個駭客僱傭生態系統,以保護我們的國家安全。」
FBI 網路部門助理主任沃恩德朗(Bryan Vorndran) 表示:「FBI 致力於保護美國人民免受外國網路攻擊的威脅。今天的公告表明,中國公安部正支付駭客傭兵,以數位手段攻擊那些批評中國共產黨(CCP)的美國人。」
沃恩德朗並進一步說道:「我們感謝那些勇敢提供入侵證據的受害者,並向所有選擇協助中共非法網路活動的人發出警告:這些指控證明,我們將運用一切可用工具,找出你們、起訴你們,並向全世界揭露你們的惡意行為。」
受害者無所不在 從批評中國的異議人士到美國聯邦政府
受害者包括居住在美國的中國異議人士及中國政府批評者、美國的一個大型宗教組織、亞洲多個政府的外交部門,以及美國聯邦與州政府機構,其中包括 2024 年底遭受攻擊的美國財政部。
根據法庭文件,中國公安部及國家安全部利用中國的私營公司和承包商網絡,以掩飾中國政府的直接參與。
在某些情況下,公安部與國安部向中國境內的私人駭客支付報酬,要求他們攻擊特定目標;而在許多其他情況下,這些駭客為獲取利潤,也主動隨機尋找易受攻擊的電腦系統,進行入侵,然後出售竊取來的資訊,無論買家是否為中國政府機構。
這種無差別的駭客活動導致全球更多系統被入侵,使更多電腦容易受到第三方的進一步攻擊,並導致大量被盜資訊流入黑市,其中有許多中國政府不感興趣的資訊,則被出售給其他買家。
安洵扮演中國「駭客僱傭」生態系統的關鍵角色
紐約南區聯邦法院公布的起訴書指控 8 名安洵員工和兩名中國公安部官員,從 2016 年至 2023 年期間參與大量且廣泛的電子郵件帳戶、手機、伺服器和網站的駭客攻擊活動。法庭還授權查封了安洵用於宣傳業務的主要網域名稱。
安洵及其員工在中國「駭客僱傭」市場中扮演關鍵角色,收入達數千萬美元。
相關報導:安洵洩漏文件 掀出中國招攬駭客內幕
該公司部分駭客行為是應公安部或國家安全部的要求,包括針對海外異議人士的跨國網路鎮壓;另一些攻擊則是該公司自主發起,之後將竊取的數據出售給中國至少 31 個省市的 43 個與公安部和國家安全部相關的政府機構。
每成功入侵一個電子郵件帳戶, 安洵就能向中國公安部和國家安全部收取約在 1 萬至 7.5 萬美元不等的費用。該公司還負責培訓公安部員工,使他們能夠獨立進行駭客活動,並向客戶出售各種駭客技術。
APT27 組織成員尹克成、周帥 長期竊取美國機構資料
另外,哥倫比亞特區聯邦法院公布了針對 APT27 組織成員尹克成和周帥(網路名稱「Coldface」)的兩份起訴書,指稱這兩人與安洵及中國政府保持聯繫,自 2011 年以來,兩人便活躍於中國資訊安全生態系統,並透過向中國政府出售從美國竊取的資訊來獲取不義之財。
周帥曾在安洵的戰略諮詢部門工作,而尹克成則以頻繁攻擊美國機構而在中國駭客圈內聞名。
(圖/FBI)
根據法庭文件,尹克成和周帥及其共謀者從 2013 年 8 月至 2024 年 12 月期間,利用受害網路的漏洞,進入這些網路進行偵察,並安裝惡意軟體以持續保持存取權限。
然後,他們再從被入侵的網路中識別並竊取資料,將其傳輸到他們控制的伺服器。隨後,將竊取的資料出售給各種客戶,其中只有部分客戶與中國政府和軍方有聯繫。
提供逮捕尹可成和周帥資訊 可獲200萬美元獎勵
尹可成和周帥的動機受金錢利益驅使,由於以營利為目的,他們的目標廣泛,包括眾多美國科技公司、智庫、律師事務所、國防承包商、地方政府、醫療系統和大學,造成了數百萬美元的損失。
法庭文件還披露,尹克成參與了最近公布的 2024 年 9 月至 12 月期間對美國財政部的駭客攻擊。美國司法部宣布法院授權 FBI 查封尹可成和周帥用於這些駭客活動的網域名稱和虛擬私人伺服器帳戶等。
今年 1 月 17 日,美國財政部外國資產控制辦公室(OFAC)因尹克成參與駭客入侵美國財政部而對其實施制裁。同時,OFAC 還宣布對周帥及其經營的上海黑鷹信息技術(ShanghaiHeiying Information Technology)實施制裁。
美國國務院的正義獎勵計劃(RFJ)提供高達 1,000 萬美元的獎勵,用於獲取有關參與司法部起訴書中強調的惡意網路活動的安洵公司、其員工和公安部官員的資訊;並透過打擊跨國有組織犯罪獎勵計劃(Transnational Organized Crime Rewards Program,TOCRP),對提供促成逮捕尹克成和周帥的資訊,各給予最高 200 萬美元的獎勵。
(圖/RFJ)
此次美國司法部的行動揭露了中國政府如何利用私營企業和資安承包商網絡進行全球性駭客活動,並試圖掩蓋政府的直接參與。這些被告正被美國聯邦調查局通緝。
作者:陳怡菱,報呱副主編。
延伸閱讀:入侵全球逾8萬防火牆 美國起訴並制裁中國公司與個人
參考新聞連結:
2025/03/05 FBI Beijing Leveraging Freelance Hackers and Information Security Companies to Compromise Computer Networks Worldwide
2025/03/05 USDOJ Justice Department Charges 12 Chinese Contract Hackers and Law Enforcement Officers in Global Computer Intrusion Campaigns
2025/03/05 USDOJ Chinese Nationals with Ties to the PRC Government and “APT27” Charged in a Computer Hacking Campaign for Profit, Targeting Numerous U.S. Companies, Institutions, and Municipalities
