2018年3月16日，外交部發言人陸慷主持例行記者會。會上有記者問：據報道，美國網絡安全公司 FireEye（火眼）稱中國黑客已掀起針對美國工程公司和軍工企業的新一輪攻擊，這些公司所從事的業務與南海有關。你能否證實并評論?

陸慷回應稱，中方堅決反對并打擊任何形式的網絡攻擊，不允許任何國家或個人在中國境內或利用中國基礎設施從事網絡攻擊等非法活動。

FireEye 口中的中國黑客組織

網絡安全公司 FireEye 發博文聲稱，中國黑客組織TEMP. Periscope（又名Leviathan）對與南海爭端相關的美國工程和國防等公司發起網絡攻擊，該組織至少自2013年起就開始專注于攻擊多個垂直領域的海事目標，包括工程企業、航運、制造業、國防、政府辦公室以及研究型高校等。除此之外，該組織還將矛頭指向專業/咨詢服務、高科技行業、醫療保健與媒體/出版等領域。

FireEye 表示其目前確定的受害者主要集中在美國，另外歐洲也有多個機構受影響，甚至中國香港地區有一個以上的機構也牽涉其中。

黑客組織 TEMP.Periscope 與 TEMP.Jumper 在目標定位以及戰術、技術與程序（簡稱TTP）方面存在一定交集，而 TEMP.Jumper 與“南海樹（NanHaiShu）”也存在交集。

TEMP.Periscope 所使用的 TTP 與惡意軟件

FireEye在博文中表示，在最近的攻擊活動當中，TEMP.Periscope 利用多套疑似各中國網絡間諜組織所共同使用的大型惡意軟件庫，其中具體包括：

AIRBREAK：一款基于 JavaScript 的后門，亦被稱為“Orz”，能夠從受入侵的合法服務與網頁當中收集配置文件與隱藏字符串，進而檢索相關命令。

BADFLICK：一款后門程序，能夠修改文件系統，生成反向 shell 并修改其命令與控制（簡稱C&C）配置。

PHOTO：一款 DLL 后門，亦被稱為“Derusbi”，能夠獲取目錄、文件與驅動器列表;創建反向 shell；執行屏幕截圖；錄制視頻與音頻;列出、終止及創建進程；枚舉、啟動并刪除注冊表項與值;記錄鍵盤輸入結果，從受保護的存儲介質中返回用戶名及密碼；對文件進行重命名、刪除、復制、移動、讀取以及寫入。

HOMEFRY：一款面向64位 Windows 系統的密碼提取器/破解器，其此前曾被連同 AIRBREAK 以及 BADFLICK 后門一起注入目標系統。某些字符串會使用 XOR x56 進行模糊處理。該惡意軟件可在命令行當中接受兩條參數：一條用于為每個登錄會話顯示明文憑證，另一條用于為每個登錄會話顯示明文憑證、NTLM 哈希以及惡意軟件版本。

LUNCHMONEY：一款能夠將文件滲漏至 Dropbox 的上傳器。

MURKYTOP：一款命令行偵察工具，可用于以不同用戶身份實現文件執行、本地移動以及刪除。此外，它還能夠調度遠程 AT 作業、在連接的網絡上進行主機發現、掃描已接入主機上的開放網絡端口，進而檢索該遠程主機上的操作系統、用戶、組以及共享信息。

China Chopper：一套簡單的代碼注入 webshell，可在 HTTP POST 命令當中執行微軟.NET代碼。這意味著該 shell 將能夠上傳與下載文件，使用 Web 服務器帳戶權限執行應用程序，列出目錄內容，訪問 Active Directory，訪問數據庫以及其它.NET運行過程中所允許的其它操作。

TEMP.Periscope 在過去的攻擊活動中曾經使用以下工具，且有可能未來再次使用，但目前尚無相關重用活動跡象：

Beacon：一款適用于 Cobalt Strike 軟件平臺的商用后門，通常用于對網絡環境進行滲透測試。該惡意軟件支持多種功能，包括注入與執行任意代碼、上傳及下載文件以及執行shell命令。

BLACKCOFFEE：一款可將自身流量混淆為指向 GitHub 及微軟 Technet 門戶等合法網站的正常流量的后門。APT17（同樣被認為是中國的黑客組織） 曾經使用過這款工具。

其它已被發現的 TTP 包括

魚叉式網絡釣魚，包括使用可能被盜的郵件賬戶。

利用 CVE-2017-11882 漏洞通過誘餌文件投放惡意軟件。

用于惡意軟件簽名的被盜代碼簽名憑證。

使用 bitsadmin.exe下載其它工具。

使用 PowerShell 下載其它工具。

使用 C:WindowsDebug and C:Perflogs 作為暫存目錄。

利用 Hyperhost VPS 與 Proton VPN 退出節點以訪問面向互聯網系統上的 webshell。

利用 WindowsManagement Instrumentation（簡稱WMI）實現持久駐留。

在啟動文件夾中利用 Windows 快捷方式文件（.lnk）調用Windows Scripting Host（wscript.exe），從而執行Jscript 后門以實現持久駐留。

從合法網站/論壇（例如 Github 與微軟 TechNet 門戶網站）的用戶配置文件處接收命令與控制（C&C）指令。

FireEye 表示，TEMP.Periscope 黑客組織使用各種技術發起攻擊，包括魚叉式網絡釣魚電子郵件，其中的鏈接和附件含有惡意軟件，用以進入目標計算機網絡。FireEye 稱，該黑客組織似乎是為了獲取對中國政府有利的信息。

FireEye 的高級分析師弗雷德·普蘭表示，該黑客組織專注于與南海有關的美國航運實體：TEMP. Periscope 追求的信息主要涉及雷達探測距離或開發中的系統檢測海上活動的準確程度等，可能是利用這類數據制定戰略決策，他認為這屬于國家間諜活動的行徑一致。普蘭還稱，鑒于這些目標組織的類型，TEMP. Periscope 很有可能代表政府發起行動。

又一次捕風捉影

FireEye 雖然稱攻擊疑似來自中國，但并未證實該組織與中國政府有任何關聯。FireEye 拒絕透露遭遇攻擊的公司名稱。FireEye 在另一份報告中稱，美國政府辦公室、媒體、學術機構、工程和國防公司遭到攻擊。當被問及美國海軍是否在目標之列，普蘭拒絕做出評論。

美國海軍有時會執行所謂的航行自由行動，挑戰中國在南海的活動。外媒報道稱，中國黑客一直在參與南海有關的其它攻擊，中國黑客2015年在“南海仲裁案”聽證會上通過惡意軟件攻擊了海牙常設仲裁法院的網站，使之下線。

2014年，美國以竊取美國公司（包括美國西屋電氣公司和美國鋼鐵公司）商業機密之名起訴5名中國軍官。時任外交部發言人秦剛就美國司法部宣布起訴5名中國軍官一事表示，美方捏造事實，以所謂網絡竊密為由宣布起訴中國軍官，此舉嚴重違反國際關系準則，損害中美合作互信。中方敦促美方立即糾正錯誤、撤銷所謂起訴。中方決定中止中美網絡工作組活動。

中國外交部一再表示，中美兩國在維護網絡安全方面擁有重要共同利益。中方愿與美方繼續按照雙方2015年達成的網絡安全重要共識,利用好兩國間現有的網絡對話機制，加強網絡安全領域的合作。同時,我們希望美方在相互尊重的基礎上同中方相向而行，推進相關領域合作。