Egység 61398 (PLA)

A 61398-as egység ( kínai: 61398 部队) a Kínai Népi Felszabadító Hadsereg sanghaji székhelyű hadosztálya, amely a számítógépes hálózatok területén végzett katonai műveletekért felelős .

A Mandiant számítógép-biztonsági cég 2013. február 18-án közzétett jelentésében azzal vádolta a részleget, hogy 2006 óta nagyszabású kiberkémkedést folytat , elsősorban angol nyelvű országok vállalatai és szervezetei ellen [1] [2] . A kínai kormány hivatalosan tagadja, hogy részt vett volna ezekben a kibertámadásokban [3] .

Történelem

A 61398-as egység (más néven "2. Iroda") a PLA Vezérkarának 3. Igazgatóságának alárendeltje, amely az Egyesült Államok Nemzetbiztonsági Ügynöksége (NSA) analógjának számít [4] .

A közzétett adatok szerint a 61398-as egység felelős az Egyesült Államok és Kanada elleni hírszerzésért [5] , míg a 61046-os egység (más néven "8. Iroda") az európai országok elleni hírszerzésre szakosodott [6] .

A 61398-as egység létrehozásának pontos dátuma nem ismert, de ismert, hogy 2004-ben a Zhejiang Egyetemen végzett  informatikai szakembereket [7] [8] toboroztak .

2007 elején megkezdődtek egy épület építése a 61398 -as blokk számára Sanghaj Pudong kerületében [9] . 2009-ben a China Telecom állami szolgáltató támogatásával száloptikai hálózatot építettek ki az épületben [10] . Az épület a Datong Road 208. szám alatt található, 12 szintes, 12138 négyzetméteres területtel. [11] .

2013-ban az egység létszámát 2000 főre becsülték [12] .

Kiberkémkedés gyanúja a 2002-2012-es időszakban

Számítógép-biztonsági szakértők azt sugallták, hogy a kiberkémek két nagy csoportja, angol források Comment Crew és Elderwood Group , akik részt vettek az Aurora hadműveletben (több amerikai vállalat ellen 2009 júniusában-decemberében végrehajtott hatalmas kibertámadás) kínai származású . 13] [14] .

A Comment Crew -ról azt feltételezik, hogy Sanghajban található , és kapcsolatban áll a PLA -val [13] :

• A Fireye amerikai kiberbiztonsági cég 2002 és 2012 között több mint ezer kibertámadást tulajdonít ennek a csoportnak a tevékenységének;
• Ez a csoport kibertámadásokat indított olyan vállalatok ellen, mint az RSA Security , a DuPont és a British American Tobacco ;
• Ez a csoport érdeklődést mutatott vezető politikusok iránt is, 2012 júliusában mintegy 14 percnyi e-mailes beszélgetést lehallgatva az Európai Bizottság elnöke között a görögországi gazdasági válság megoldására irányuló tárgyalások során;
• Ezt a csoportot "Shanghai Group"-nak ( angolul  Shanghai Group ) és a Bizánci Candornak is nevezték (ez utóbbi név szerepel a WikiLeaks által 2008-ban közzétett amerikai diplomáciai levelezésben).

2013-as kiberkémkedési vádak

A Mandiant 2013. évi APT1 csoportjelentése

A Mandiant  egy amerikai biztonsági magáncég, amelyet 2004-ben alapított Kevin Mandia, aki korábban az Egyesült Államok légierejének számítógépes biztonsági szakértője volt [15] . A Mandiant világszerte több száz szervezetnél tanulmányozta a számítógépes hálózatok sebezhetőségével kapcsolatos helyzetet [16] , és 2006-ban azonosított egy hackercsoportot, amelyet APT1-nek neveztek el, valamint több mint két tucat hasonló csoportot, amelyek Kínából hajtottak végre számítógépes támadásokat. [16] ). A 2013- as Mandiant képviselői szerint az APT1 csoport az egyik legaktívabb a kiberkémkedés területén [16] .

2013. február 18-án a Mandiant kiadott egy jelentést az APT1 csoport [16] (más néven Comment Crew vagy Shanghai Group [17] ) tevékenységéről, amely a cég alkalmazottainak az elmúlt 7 évben végzett közvetlen megfigyelései alapján készült, valamint nyílt internetes forrásokból származó információk [16] . A jelentés közzététele után azonnal feltörték és megfertőzték egy számítógépes vírussal [18] .

Kiberkémkedés a Shanghai Group által

A Mandiant szerint 2006 óta az APT1 kiberkémcsoport (" Shanghai Group ") 2006 óta rendszeresen nagy mennyiségű adatot lop el legalább 141 szervezettől, és egyszerre több tucat cég számítógépes hálózatába is beszivárgott. Az ellopott információk a stratégiákkal (belső feljegyzések, napirendek, protokollok), vállalati termékekkel ( technológia , tervezés , teszteredmények), ipari folyamatokkal ( szabványok stb.), üzleti információkkal (üzleti tervek, szerződéskötési tárgyalások) kapcsolatos bizalmas adatok széles körét foglalják magukban . , árlisták, felvásárlások vagy partnerségek), az e-mail levelezés tartalma és a hálózatokhoz való hozzáférés jelszavai [19] . A Shanghai Groupnak átlagosan egy évig (356 napig) sikerült fenntartania a vállalati számítógépes hálózatokhoz való illegális hozzáférést. Egy esetben a hackereknek 1764 napig (majdnem 5 évig) sikerült fenntartaniuk hozzáférésüket a vállalat belső hálózatához [20] .

A benyújtott jelentés szerint a Shanghai Group főként angol nyelvű országok szervezetei ellen kémkedett: a 141 áldozat cég 87%-a olyan országokban található, ahol az angol a fő nyelv (USA, Kanada és az Egyesült Királyság [21] ), ill. csak egy cég francia. A Shanghai Group globális szinten működik, 13 országban körülbelül 1000 szervert tárolnak egyedi IP-címeken . A 849 egyedi IP-cím közül 709 Kínából, 109 pedig az Egyesült Államokból származott. Ezenkívül az esetek 97%-ában a hackerek Sanghaj területén található IP-címekhez tartoznak [22] . A Mandiant 2551 domain nevet azonosított , amelyek a Shanghai csoporthoz tartoznak [22] . Megjelent ezen domain nevek listája.

A sanghaji csoport és részleg azonosítója 61398

A Mandiant szakértői szerint nagy valószínűséggel feltételezhető, hogy az APT1 hackercsoport, vagyis a Shanghai Group nem más, mint a PLA 61398-as divíziója [23] . A következő tényezők támogatják ezt:

• az e csoport hosszú ideje folytatott kiberkémkedési műveleteinek mértéke akkora anyagi, emberi és anyagi erőforrást igényel, amelyet csak az állam tud biztosítani;
• a Shanghai Group által működtetett számítógépes kémkedési feladatok ellátásához szükséges technikai és nyelvi ismeretek megegyeznek a 61398 -as egység (az Egyesült Államok és Kanada elleni kémkedés) képességeivel;
• a kiberkémkedés taktikái, módszerei és eljárásai tisztán titkosszolgálati jellegűek voltak, nem fordult elő adatmegsemmisítés vagy pénzügyi csalás, ami a hétköznapi hackerek vagy a szervezett bűnözés tevékenységére jellemző ;
• a gazdaság 20 ágazatának elemzése, amelyekhez a kiberkémkedés 141 áldozata tartozik, egyértelmű összefüggést mutat Kína tizenkettedik ötéves tervének (2011-2015) stratégiai céljaival ;
• a Shanghai Group több mint 7 éve használta, az IP-címek, a szerverek elhelyezkedése, a használt operációs rendszerek jellemzői jelzik a csoport sanghaji területen belüli elhelyezkedését .

A kínai hatóságok reakciója

A kínai kormány azonnal visszautasította a számítógépes kémkedésre vonatkozó vádakat. Közvetlenül a Mandiant -jelentés közzétételének napján (2013. február 18-án) a kínai külügyminisztérium közleményt adott ki, amelyben a jelentésben megfogalmazott vádakat "felelőtlennek és szakszerűtlennek" minősítette, és megjegyezte, hogy "Kína határozottan ellenzi a kalózkodást megfelelő törvények létrehozásával és szabályokat, és szigorú intézkedéseket tesz a hackerek tevékenysége elleni védelem érdekében” [24] .

A Külügyminisztérium reakciója nyomán 2013. február 20-án a kínai védelmi minisztérium kijelentette, hogy a Mandiant cég vádjai "alapítatlan tények [25] ".

Ugyanakkor a kínai kormány nem tagadja a 61398-as egység létezését, mivel az épületről, ahol az található, fényképeket és videókat tettek közzé számos médiában [26] .

Lásd még

• KNK katonai kiberműveletei

Jegyzetek

1. ↑ John Avlon és Sam Schlinkert, Így töri meg Kína Amerikát: Inside the Mandiant Report , The Daily Beast, 2013. február 19. à lire en ligne Archiválva : 2016. december 27. a Wayback Machine -nél
2. ↑ Anne Flaherty, Egy pillantás a Mandiantra, vádak kínai hackeléssel kapcsolatban, Associated Press, 2012. február 20. à lire en ligne
3. ↑ A kínai hadsereget úgy tekintik, mintha az Egyesült Államok elleni hackeléshez köthető – The New York Times . Letöltve: 2017. szeptember 30. Az eredetiből archiválva : 2018. március 12. (határozatlan)
4. ↑ Rapport Mandiant APT1 8 (2013). Letöltve: 2014. október 1. archiválva az eredetiből: 2013. február 19. (határozatlan)
5. ↑ A Kínai Népi Felszabadító Hadsereg Signals Intelligence and Cyber ​​​​Reconnaissance Infrastructure (hivatkozás nem érhető el) 8 (2011. november 11.). Letöltve: 2014. október 1. Az eredetiből archiválva : 2012. október 21.. (határozatlan) 
6. ↑ A Kínai Népi Felszabadító Hadsereg Signals Intelligence and Cyber ​​​​Reconnaissance Infrastructure (hivatkozás nem érhető el) 10 (2011. november 11.). Letöltve: 2014. október 1. Az eredetiből archiválva : 2012. október 21.. (határozatlan) 
7. ↑ PLA Unit 61398 Toborzási Felhívás 10. (2013. február 20.). Letöltve: 2014. október 1. Az eredetiből archiválva : 2014. november 20.. (határozatlan)
8. ↑ Internet Sleuths bizonyítékot ad a kínai katonai hackervádokhoz (2013. február 27.). Letöltve: 2014. október 1. Az eredetiből archiválva : 2014. október 6.. (határozatlan)
9. ↑ Rapport Mandiant APT1 3 (2013). Letöltve: 2014. október 1. archiválva az eredetiből: 2013. február 19. (határozatlan)
10. ↑ Rapport Mandiant APT1 19 (2013). Letöltve: 2014. október 1. archiválva az eredetiből: 2013. február 19.  (határozatlan) Un document interne de China Telecom de 2009, publié dans le rapport, fait référence à l'Unité 61398 du 3e département de l'état-major général et à la construction d'un réseau pour la Défense nationale
11. ↑ L'Unité 61398, nid de cyber-spions chinois? . Letöltve: 2014. október 1. Az eredetiből archiválva : 2018. május 12. (határozatlan)
12. ↑ Rapport Mandiant APT1 11 (2013). Letöltve: 2014. október 1. archiválva az eredetiből: 2013. február 19.  (határozatlan) La société a estimée le nombre de kollaboráns sur la base de la taille et de l'espace de l'immeuble occupé par cette unité
13. ↑ 1 2 Hackerek kapcsolatban állnak a kínai hadsereggel az EU-tól a DC-ig (2012. július 27.). Letöltve: 2017. szeptember 30. Az eredetiből archiválva : 2015. január 11.. (határozatlan)
14. ↑ Amerikai üzleti titkok ellopása: A szakértők két hatalmas internetes „bandát” azonosítottak Kínában (2012. szeptember 14.). Letöltve: 2014. október 1. Az eredetiből archiválva : 2019. november 15. (határozatlan)
15. ↑ A Mandiant Corp vírusos lesz a kínai hackerjelentés után (2013. február 23.). Letöltve: 2014. október 1. Az eredetiből archiválva : 2016. március 3. (határozatlan)
16. ↑ 1 2 3 4 5 Rapport Mandiant APT1 2 (2013). Letöltve: 2014. október 1. archiválva az eredetiből: 2013. február 19. (határozatlan)
17. ↑ A kínai hadsereg egysége kapcsolatban áll az USA elleni hackeléssel (2013. február 18.). Letöltve: 2017. szeptember 30. Az eredetiből archiválva : 2018. május 28.. (határozatlan)
18. ↑ Brian Price, Fake Mandiant Chinese Hacking Report Used in Attack Campaign , Security Week, 2013. február 21. à lire en ligne Archiválva : 2018. július 1. a Wayback Machine -nél
19. ↑ Rapport Mandiant APT1 25 (2013). Letöltve: 2014. október 1. archiválva az eredetiből: 2013. február 19. (határozatlan)
20. ↑ Rapport Mandiant APT1 21 (2013). Letöltve: 2014. október 1. archiválva az eredetiből: 2013. február 19. (határozatlan)
21. ↑ L'Unité 61398, nid de cyber-spions chinois? (2013. február 19.). Letöltve: 2014. október 1. Az eredetiből archiválva : 2018. május 12. (határozatlan)
22. ↑ 1 2 Rapport Mandiant APT1 4 (2013). Letöltve: 2014. október 1. archiválva az eredetiből: 2013. február 19. (határozatlan)
23. ↑ Rapport Mandiant APT1 59 és 60 (2013). Letöltve: 2014. október 1. archiválva az eredetiből: 2013. február 19. (határozatlan)
24. ↑ A kínai hadsereg egysége kapcsolatban áll az USA elleni hackeléssel (2013. február 18.). Letöltve: 2017. szeptember 30. Az eredetiből archiválva : 2018. március 12. (határozatlan)
25. ↑ Kína szerint a hadsereg nem áll a támadások mögött a jelentésben (2013. február 20.). Letöltve: 2017. szeptember 30. Az eredetiből archiválva : 2018. március 12. (határozatlan)
26. ↑ Reuters – Unity 61398 (2013. február 19.). Letöltve: 2017. szeptember 30. Az eredetiből archiválva : 2014. október 6.. (határozatlan)

Linkek

• APT1 – Kína egyik kiberkémkedési  egységének leleplezése