Enhet 61398 (PLA)

Enhet 61398 ( kinesiska: 61398 部队) är en division av Folkets befrielsearmé i Kina , baserad i Shanghai , ansvarig för att utföra militära operationer inom området datornätverk .

I en rapport publicerad den 18 februari 2013 anklagade datasäkerhetsföretaget Mandiant divisionen för att ha bedrivit storskaligt cyberspionage sedan 2006 , främst mot företag och organisationer i engelsktalande länder [1] [2] . Den kinesiska regeringen förnekar officiellt all inblandning i dessa cyberattacker [3] .

Historik

Enhet 61398 (även känd som "2nd Bureau"), är underordnad 3rd Directorate of the General Staff of the PLA , som anses vara en analog till US National Security Agency (NSA) [4] .

Enligt publicerade data är enhet 61398 ansvarig för att utföra underrättelser mot USA och Kanada [5] , medan enhet 61046 (även känd som "8th Bureau") specialiserar sig på underrättelser mot europeiska länder [6] .

Det exakta datumet för skapandet av enhet 61398 är okänt, men det är känt att det 2004 rekryterade utexaminerade från Zhejiang University  - IT-specialister [7] [8] .

I början av 2007 började konstruktionen av en byggnad för att hysa enhet 61398 i Shanghais Pudong-distrikt [9] . 2009, med stöd av den statliga operatören China Telecom , anlades ett fiberoptiskt nätverk i byggnaden [10] . Byggnaden ligger på 208 Datong Road, har 12 våningar med en yta på 12138 kvm. [11] .

Under 2013 uppskattades styrkan för enheten till 2 000 personer [12] .

Misstankar om cyberspionage under perioden 2002-2012

Datasäkerhetsexperter har föreslagit att två stora grupper av cyberspioner, kallade Comment Crew och Elderwood Group i engelska källor , som deltog i Operation Aurora (en massiv cyberattack mot ett antal amerikanska företag i juni-december 2009), har kinesiskt ursprung [ 13] [14] .

Speciellt har Comment Crew spekulerats vara baserad i Shanghai och associerad med PLA [13] :

• Det amerikanska cybersäkerhetsföretaget Fireye tillskriver mer än tusen cyberattacker som genomfördes mellan 2002 och 2012 till denna grupps aktiviteter;
• Denna grupp lanserade cyberattacker mot företag som RSA Security , DuPont och British American Tobacco ;
• Denna grupp har också visat intresse för ledande politiker och avlyssnat cirka 14 minuters e-postkonversationer mellan EU-kommissionens ordförande i juli 2012, under förhandlingar för att lösa den ekonomiska krisen i Grekland;
• Denna grupp har även kallats "Shanghai Group" ( Engelska  Shanghai Group ) och Bysantine Candor (det senare namnet nämns i amerikansk diplomatisk korrespondens publicerad av WikiLeaks 2008).

2013 anklagelser om cyberspionage

Mandiants APT1 Group Report 2013

Mandiant  är ett amerikanskt privat säkerhetsföretag som grundades 2004 av Kevin Mandia, tidigare datasäkerhetsexpert i US Air Force [15] . Mandiant studerade situationen med sårbarheten för datanätverk i hundratals organisationer runt om i världen [16] och identifierade 2006 en grupp hackare, som betecknades APT1, samt mer än två dussin liknande grupper som utförde cyberattacker från Kina [16] ). Enligt 2013 års Mandiant- representanter är APT1-gruppen en av de mest aktiva inom cyberspionage [16] .

Den 18 februari 2013 släppte Mandiant en rapport om verksamheten i APT1-gruppen [16] (även kallad Comment Crew eller Shanghai Group [17] ), baserad på direkta observationer av företagets anställda under de senaste 7 åren, samt information från öppna Internetkällor [ 16] . Efter att rapporten publicerats hackades den omedelbart och infekterades med ett datavirus [18] .

Cyberspionage av Shanghai Group

Sedan 2006 har APT1 cyberspy group (" Shanghai Group ") systematiskt stjäl stora mängder data från minst 141 organisationer sedan 2006, och infiltrerat flera dussin företags datanätverk samtidigt, enligt Mandiant. Den stulna informationen täcker ett brett spektrum av konfidentiella data relaterade till strategier (interna PM, agendor, protokoll), företagsprodukter ( teknik , design , testresultat), industriella processer ( standarder , etc.), affärsinformation (affärsplaner, avtalsförhandlingar). , prislistor, förvärv eller partnerskap), innehållet i e-postkorrespondens och lösenord för åtkomst till nätverk [19] . Shanghai Group lyckades upprätthålla olaglig tillgång till företagets datornätverk under i genomsnitt ett år (356 dagar). I ett fall lyckades hackare behålla sin tillgång till företagets interna nätverk i 1764 dagar (nästan 5 år) [20] .

Enligt den inlämnade rapporten spionerade Shanghai-gruppen främst mot organisationer i engelsktalande länder: 87 % av de 141 offerföretagen har sitt huvudkontor i länder där engelska är huvudspråket (USA, Kanada och Storbritannien [21] ), och endast ett företag är franskt. Shanghai Group verkar på en global skala, med cirka 1 000 servrar på individuella IP-adresser i 13 länder. Av dessa 849 unika IP-adresser var 709 från Kina och 109 från USA. Dessutom befanns hackare i 97 % av alla fall tillhöra IP-adresser i Shanghai-området [22] . Mandiant har identifierat 2 551 domännamn som tillskrivs Shanghai Group [22] . En lista över dessa domännamn har publicerats.

Shanghai-gruppens och divisionens identitet 61398

Enligt Mandiant- experter kan det med en hög grad av sannolikhet antas att APT1-hackergruppen, eller Shanghai Group , inte är något annat än en division av 61398 av PLA [23] . Följande faktorer stödjer detta:

• omfattningen av cyberspionageverksamheten som denna grupp har bedrivit under lång tid kräver en sådan mängd ekonomiska, mänskliga och materiella resurser som bara staten kan tillhandahålla;
• de tekniska och språkliga färdigheterna som krävs för att utföra cyberspionagefunktionerna som drivs av Shanghai-gruppen är identiska med de för enhet 61398 (spionage mot USA och Kanada);
• taktik, metoder och förfaranden för cyberspionage var rent av intelligens, det förekom inga fall av dataförstöring eller ekonomiskt bedrägeri, vilket är typiskt för handlingar av vanliga hackare eller organiserad brottslighet ;
• analys av 20 sektorer av ekonomin, som 141 offer för cyberspionage tillhör, visar en tydlig korrelation med de strategiska målen i Kinas tolfte femårsplan (2011-2015);
• använt av Shanghai Group i över 7 år, IP-adresser, serverplatser, egenskaper hos de använda operativsystemen indikerar gruppens plats i Shanghai -området .

De kinesiska myndigheternas reaktion

Den kinesiska regeringen förnekade omgående anklagelser om cyberspionage. Omedelbart, samma dag som Mandiant- rapporten släpptes (18 februari 2013), utfärdade det kinesiska utrikesministeriet ett uttalande som beskrev anklagelserna i rapporten som "oansvariga och oprofessionella" och noterade också att "Kina motsätter sig starkt piratkopiering genom att upprätta relevanta lagar och bestämmelser och vidtar strikta åtgärder för att skydda mot hackares aktiviteter” [24] .

Efter reaktionen från utrikesministeriet, den 20 februari 2013, uppgav det kinesiska försvarsministeriet att anklagelserna från företaget Mandiant är "ounderbyggda fakta [25] ".

Samtidigt förnekar inte den kinesiska regeringen existensen av enhet 61398, eftersom fotografier och videor av byggnaden där den ligger har publicerats i många medier [26] .

Se även

• Kinas militära cyberoperationer

Anteckningar

1. ↑ John Avlon och Sam Schlinkert, This is How China Hacks America: Inside the Mandiant Report , The Daily Beast, 19 februari 2013 à lire en ligne Arkiverad 27 december 2016 på Wayback Machine
2. ↑ Anne Flaherty, A look at Mandiant, anklagelser om hackning i Kina, Associated Press, 20 februari 2012 à lire en ligne
3. ↑ Kinas armé ses som knuten till hackning mot USA - New York Times . Hämtad 30 september 2017. Arkiverad från originalet 12 mars 2018. (obestämd)
4. ↑ Rapport Mandiant APT1 8 (2013). Hämtad 1 oktober 2014. Arkiverad från originalet 19 februari 2013. (obestämd)
5. ↑ Den kinesiska folkets befrielsearmé signalerar intelligens och cyberspaningsinfrastruktur (länk ej tillgänglig) 8 (11 november 2011). Hämtad 1 oktober 2014. Arkiverad från originalet 21 oktober 2012. (obestämd) 
6. ↑ Den kinesiska folkets befrielsearmé signalerar intelligens och cyberspaningsinfrastruktur (länk ej tillgänglig) 10 (11 november 2011). Hämtad 1 oktober 2014. Arkiverad från originalet 21 oktober 2012. (obestämd) 
7. ↑ PLA Unit 61398 Rekryteringsmeddelande hittades 10 (20 februari 2013). Hämtad 1 oktober 2014. Arkiverad från originalet 20 november 2014. (obestämd)
8. ↑ Internetsnydare lägger till bevis till kinesiska militära anklagelser om hackning (27 februari 2013). Hämtad 1 oktober 2014. Arkiverad från originalet 6 oktober 2014. (obestämd)
9. ↑ Rapport Mandiant APT1 3 (2013). Hämtad 1 oktober 2014. Arkiverad från originalet 19 februari 2013. (obestämd)
10. ↑ Rapport Mandiant APT1 19 (2013). Hämtad 1 oktober 2014. Arkiverad från originalet 19 februari 2013.  (obestämd) Un document intern de China Telecom de 2009, publié dans le rapport, fait référence à l'Unité 61398 du 3e département de l'état-major général et à la construction d'un réseau pour la Défense nationale
11. ↑ L'Unité 61398, nid de cyber-spions chinois ? . Hämtad 1 oktober 2014. Arkiverad från originalet 12 maj 2018. (obestämd)
12. ↑ Rapport Mandiant APT1 11 (2013). Hämtad 1 oktober 2014. Arkiverad från originalet 19 februari 2013.  (obestämd) La société a estimée le nombre de collaborateurs sur la base de la taille et de l'espace de l'immeuble occupé par cette unité
13. ↑ 1 2 Hackare kopplade till Kinas armé sett från EU till DC (27 juli 2012). Hämtad 30 september 2017. Arkiverad från originalet 11 januari 2015. (obestämd)
14. ↑ Att stjäla amerikanska affärshemligheter: Experter identifierar två enorma cyber-"gäng" i Kina (14 september 2012). Hämtad 1 oktober 2014. Arkiverad från originalet 15 november 2019. (obestämd)
15. ↑ Mandiant Corp blir viral efter Kinas hackingrapport (23 februari 2013). Hämtad 1 oktober 2014. Arkiverad från originalet 3 mars 2016. (obestämd)
16. ↑ 1 2 3 4 5 Rapport Mandiant APT1 2 (2013). Hämtad 1 oktober 2014. Arkiverad från originalet 19 februari 2013. (obestämd)
17. ↑ Kinesisk arméenhet ses som knuten till hackning mot USA (18 februari 2013). Hämtad 30 september 2017. Arkiverad från originalet 28 maj 2018. (obestämd)
18. ↑ Brian Price, Fake Mandiant Chinese Hacking Report Used in Attack Campaign , Security Week, 21 februari 2013 à lire en ligne Arkiverad 1 juli 2018 på Wayback Machine
19. ↑ Rapport Mandiant APT1 25 (2013). Hämtad 1 oktober 2014. Arkiverad från originalet 19 februari 2013. (obestämd)
20. ↑ Rapport Mandiant APT1 21 (2013). Hämtad 1 oktober 2014. Arkiverad från originalet 19 februari 2013. (obestämd)
21. ↑ L'Unité 61398, nid de cyber-spions chinois ? (19 februari 2013). Hämtad 1 oktober 2014. Arkiverad från originalet 12 maj 2018. (obestämd)
22. ↑ 1 2 Rapport Mandiant APT1 4 (2013). Hämtad 1 oktober 2014. Arkiverad från originalet 19 februari 2013. (obestämd)
23. ↑ Rapport Mandiant APT1 59 et 60 (2013). Hämtad 1 oktober 2014. Arkiverad från originalet 19 februari 2013. (obestämd)
24. ↑ Kinesisk arméenhet ses som knuten till hackning mot USA (18 februari 2013). Hämtad 30 september 2017. Arkiverad från originalet 12 mars 2018. (obestämd)
25. ↑ Kina säger att armén inte står bakom attacker i rapporten (20 februari 2013). Hämtad 30 september 2017. Arkiverad från originalet 12 mars 2018. (obestämd)
26. ↑ Reuters - Unity 61398 (19 februari 2013). Hämtad 30 september 2017. Arkiverad från originalet 6 oktober 2014. (obestämd)

Länkar

• APT1 - Exponerar en av Kinas  cyberspionageenheter