amacready/Chinese-Cyber-Operations

# 中国网络行动 ## 关于此仓库 此仓库整合了与中国国家背景网络活动相关的公开报告威胁情报和分析，特别关注澳大利亚背景下的电信和关键基础设施（SOCI 和国家重要系统）。 这项工作并非旨在进行学术研究或原始情报收集。相反，它代表了通过运营网络安全防御视角解释的开源报告、供应商情报、政府公告和战略分析的结构化综合。 目标受众是： - 网络安全专业人员 - SOC 分析师 - DFIR 从业人员 - 威胁猎手 - 关键基础设施风险管理者 - 电信安全工程师 目标是将战略和地缘政治报告转化为实用的防御洞察。 ## **背景与演变** 在过去的 15 年里，我的专业重心主要集中在与俄罗斯相关的国家背景网络活动上，这在很大程度上是由我之前所处的行业部门（石油和天然气）和地区（北非和中东）决定的。俄罗斯的行动也高度可见并经常具有破坏性，使其在这些环境中具有运营相关性。 然而，近年来，公开报告表明，与中国相关的国家背景网络活动在规模、范围和战略态势上发生了显著转变，特别是在关键基础设施和电信方面。这种演变促使人们有意识地将分析重心转向中国网络战略及其对基础设施安全的影响。开源评估通常将中国网络行动归因于以下实体： - 国家安全部 (MSS) – 历史上与以间谍活动为重点的行动有关 - 中国人民解放军 (PLA) – 在一些报告中与更具运营性或破坏性的能力有关 网络空间的归因非常复杂，通常受政治、分析和报告偏见的影响。本仓库承认这些局限性，并将所有公开归因视为分析性评估，而非绝对事实。 ## **范围与局限性** 与中国网络活动相关的信息通常是： - 基于供应商报告 - 源自情报机构公告 - 受到地缘政治解释的影响 - 并不总是能够独立证实 因此，此仓库应被视为： - 解释性的 - 以运营为重点的 - 非详尽无遗的 - 随着新报告出现而需不断修订的 此处提出的所有分析和结论均代表我个人的观点。任何错误或遗漏均由我个人负责。 ## **我的专业背景** 这项工作得益于以下领域的经验： - 全球安全运营中心 - 数字取证和事件响应 (DFIR) - 威胁猎杀 - 网络危机管理 为澳大利亚、中东、北非和美国的的关键基础设施环境提供支持。 ## **意图** 此仓库旨在： - 将战略报告转化为电信特定的威胁模型 - 识别与 SOC 运营相关的可观察 TTPs - 将活动映射到基础设施级别的风险 - 区分间谍活动与潜在的为破坏做准备的活动 - 支持防御性工程和检测开发--- ## **未来工作** 虽然此仓库目前主要关注与中国相关的国家背景活动，但未来的仓库可能会探讨： - 俄罗斯国家行为者 - 伊朗国家行为者 - 朝鲜国家行为者 使用相同的以运营为重点的框架。 ## 目录结构 ``` . ├── Chinese Nation State APTs/ # Primary research on Chinese cyber operations │ ├── 1. Chinese Cyber Structure.md │ ├── 2. Chinese Government Hierarchy.md │ ├── 3. Chinese Provisional Level Administration.md │ ├── 4. China's Five-Year Plans.md │ ├── 5. One China and Made in China Policies.md │ ├── 6. Chinese Intelligence Law.md │ ├── 7. Vulnerability Disclosure Laws.md │ ├── 8. PLA v MSS Focus on Australian Telecoms.md │ ├── 9. Military Cyber Unit Equivalents to the PLA.md │ ├── 10. Cyber Units Equivalent to MSS.md │ ├── 11. Cyber Operations.md │ ├── 12. Chinese Major APTs Campaign Timeline.md │ ├── 13. Volt Typhoon & Salt Typhoon Reporting Structure.md │ ├── 14. Tianfu Cup & Zerodium Exploit Acquisition Program.md │ ├── 15. University Association with APT.md │ ├── 16. Operation Aurora - Disclosed in 2010.md │ ├── 17. Operation Shady RAT (APT1) Disclosed 2011.md │ ├── 18. Mandiant's APT1 Disclosed in 2013.md │ ├── 19. References.md ├── China - Australia's Relationship/ │ ├── 1. China's 14 grievances with Australia.md │ ├── 2. Australia's response to China's 14 grievances.md │ └── 3. China's Response - Trade Punishments.md ├── Telecoms Focus │ ├── 1. Submarine Cable Routes.md │ ├── 2. Telecoms Prepositioning Assessment.md │ └── 3. Potential Submarine Cable Disruption Model.md │ ├── 4. Threats to Submarine Cables.md │ ├── 5. APTs Targeting Australian Telecoms Infrastructure.md │ └── 6. Detection Opportunities.md │ ├── 7. Operational Tradecraft.md │ └── 8. Operational CVEs.md │ └── 9. Austalia's Telecoms Interception Act 1979.md ``` ## 关键主题 - **中国 APT 组织**：隶属于 PLA 和 MSS 的威胁行为者 (Volt Typhoon, Salt Typhoon, APT1, APT40) - **目标**：澳大利亚电信基础设施、海底电缆 - **政府结构**：中国网络层级结构、PLA 与 MSS 行动 - **地缘政治背景**：中澳外交紧张局势和贸易争端 - **CVEs 与 TTPs**：威胁行为者使用的运营漏洞和技术 # 缩写 以下是本仓库中使用的一些常见缩写：- - CCP - 中国共产党 - PLA - 中国人民解放军 - MSS - 国家安全部 - CMC - 中央军事委员会 - PAP - 中国人民武装警察部队 - CP&LAC - 中央政法委员会 - APT - 高级持续性威胁 - CVE - 常见漏洞和暴露 - TTP - 战术、技术和程序 ## 电信 / 网络专用首字母缩略词 - **BGP** – 边界网关协议 - 自治系统之间的互联网路由协议。 - **MPLS** – 多协议标签交换 - 运营商骨干网路由技术。 - **SS7** – 7号信令系统 - 传统的移动信令协议 (2G/3G)。 - **OSS/BSS** – 运营支持系统 / 业务支持系统 - 电信配置、计费和服务管理平台。 - **NMS** – 网络管理系统 - 用于管理路由器、交换机和网络设备的集中式平台。 - **OT** – 运营技术 - 控制物理基础设施（电源、光传输设备等）的系统。 - **AAA** – 认证、授权和计费 - 网络访问控制框架。 - **VRF** – 虚拟路由和转发 - 网络设备上的逻辑路由实例分离。

标签：CISA项目, IP 地址批量处理, MSS, PLA, SOC分析, 中国黑客, 国家级APT, 地缘政治, 威胁情报, 实时处理, 密码管理, 库, 应急响应, 开发者工具, 开源情报分析, 战术技术与程序, 战略分析, 无线安全, 澳大利亚, 电信安全, 网络安全, 网络间谍, 防御加固, 隐私保护