Jednostka 61398

61398 部队
Flaga PLA
kreacja	2004 (szac.)
Kraj	Chiny
Wierność	Armia Ludowo-Wyzwoleńcza
Rola	szpiegowanie
Efektywny	2000 (szac.)
Jest częścią	3 E  oddział Sztabu Generalnego armii chińskiej

Jednostka 61398 (chiński: 61398 部队) Armii Ludowo-Wyzwoleńczej z siedzibą w Szanghaju jest odpowiedzialna za prowadzenie działań wojskowych w zakresie sieci komputerowych .

W raporcie opublikowanym 18 lutego 2013 r. Firma bezpieczeństwa komputerowego Mandiant zarzuca tej jednostce chińskiej armii, że od 2006 r. Jest źródłem rozległej operacji cyberszpiegowskiej, głównie przeciwko firmom i organizacjom anglosaskim. Chiński rząd natychmiast zaprzeczył będąc za cyberatakami .

Prezentacja

Oddział 3 E  Sztabu Generalnego armii chińskiej , którego liczbę szacuje się na 130 000 osób, w szczególności działania podobne do działań Agencji Bezpieczeństwa Narodowego (NSA).

W ramach tego 3 rd Zakładu, jednostka 61398 (zwany również 2 nd  biurowymi), który nie posiada oficjalnego istnienia w schemacie organizacyjnym chińskiej armii, jest przede wszystkim odpowiedzialny za działania wywiadowcze w kwestiach politycznych, gospodarczych i wojskowych. Jednostka ta będzie koncentrować się na Stanach Zjednoczonych i Kanadzie , podczas gdy jednostka 61046 (nazywany również 8 th  biurowy) specjalizuje się w Europie.

Dokładna data powstania tej jednostki pozostaje nieznana, jednak rekrutowała ona młodych absolwentów informatyki na Uniwersytecie Zhejiang już w 2004 roku.

Na początku 2007 roku w dzielnicy Pudong w Szanghaju rozpoczęła się budowa dedykowanego tej jednostce budynku . W 2009 r. Jednostka ta skorzystała w imię „rozumu państwowego” ze wsparcia operatora państwowego China Telecom przy budowie architektury sieci światłowodowej. Budynek zlokalizowany jest przy 208 Datong Road, zajmuje dwanaście pięter i 12 138  m 2 .

W 2013 roku siłę tej jednostki szacuje się na 2000 osób.

Powtarzające się podejrzenia o cyberszpiegostwo w latach 2002-2012

Od lat eksperci ds. Bezpieczeństwa komputerowego ostrzegali państwa i firmy przed wzrostem liczby prób cyberataków z Chin, ale bez przekonania - publicznie - tego demonstrowali.

Dwie grupy cyber-szpiegów, Comment Crew i Elderwood Group , które prawdopodobnie brały udział w operacji Aurora , są jednak regularnie podejrzane o powiązania z Chinami.

W szczególności grupa Comment Crew ma swoją siedzibę w Szanghaju i jest powiązana z armią chińską:

• Amerykańska firma Fireye, zajmująca się bezpieczeństwem cybernetycznym, przypisuje tej grupie ponad tysiąc cyberataków w latach 2002–2012;
• Ta grupa byłaby źródłem cyberataków na wiele firm, takich jak RSA Security , DuPont czy British American Tobacco  ;
• Ta grupa jest również zainteresowana czołowymi politykami: to byłaby przyczyna kradzieży w niecałe 14 minut poczty elektronicznej przewodniczącego Komisji Europejskiej w lipcu 2012 r., Podczas negocjacji w sprawie greckiego kryzysu gospodarczego;
• Jest również identyfikowany pod nazwą Shanghai Group lub Byzantine Candor (ta ostatnia nazwa jest wymieniona w amerykańskim depeszy dyplomatycznej z 2008 roku, ujawnionej przez Wikileaks ).

Bezpośrednie oskarżenia o cyberszpiegostwo w 2013 roku

Raport firmy APT1 Mandiant opublikowany w lutym 2013 roku

Prywatna amerykańska firma bezpieczeństwa komputerowego Mandiant została założona w 2004 roku przez Kevina Mandię, który wcześniej był śledczym ds. Cyberprzestępczości Sił Powietrznych USA.

Od samego początku firma ta badała naruszenia bezpieczeństwa komputerów w setkach organizacji na całym świecie. W 2006 roku zidentyfikowała zespół hakerów prowadzących cyber-szpiegostwo, który nazwała APT1 (Mandiant zidentyfikował w sumie ponad 20 podobnych grup, których ataki pochodzą z Chin). Do tej pory w 2013 roku ta grupa APT1 jest, zgodnie z jej obserwacjami, jedną z najbardziej płodnych grup cyber-szpiegów pod względem ilości skradzionych informacji.

Ze względu na skalę cyberataków, ilość skradzionych danych wrażliwych i ich skutki firma opublikowała 18 lutego 2013 r. Raport z działalności tej grupy APT1 (znanej również jako Comment Crew lub Shanghai Group ). Należy zauważyć, że wszystkie publikowane informacje pochodzą albo z ich bezpośrednich obserwacji z ostatnich 7 lat, albo z informacji ogólnie dostępnych w Internecie.

Po opublikowaniu raportu był on rozpowszechniany jako spam przez hakerów zainfekowanych wirusami.

Szanghaj Group Cyber ​​Spy Group

Według firmy Mandiant grupa cyber-szpiegów APT1 systematycznie od 2006 r. Kradła bardzo duże ilości danych w co najmniej 141 organizacjach i wykazała zdolność do szpiegowania dziesiątek organizacji jednocześnie:

• Operacja ta umożliwiłaby kradzież bardzo dużych ilości (kilkaset terabajtów ) poufnych informacji poprzez infiltrację sieci komputerowych.
• Skradzione informacje obejmują szerokie spektrum danych wrażliwych pod względem strategii (notatki wewnętrzne, agendy, raporty), rozwoju produktu (technologia, projekt systemu, podręczniki, wyniki testów), procesów przemysłowych (normy, zastrzeżone procedury), informacji handlowych (biznesplany) , negocjacje kontraktowe, cennik), zewnętrzne działania rozwojowe (fuzje / przejęcia) lub partnerstwo, zawartość skrzynek elektronicznych menedżerów, a także nazwy użytkowników i hasła.
• Grupie udaje się utrzymać dostęp do korporacyjnych sieci komputerowych średnio przez okres jednego roku (356 dni). W jednym przypadku grupie udało się utrzymać dostęp do wewnętrznej sieci firmy przez 1764 dni, czyli cztery lata i dziesięć miesięcy.

Według tego samego raportu firmy Mandiant , grupa szpiegowska APT1 koncentruje się na organizacjach anglojęzycznych:

• Wśród 141 ofiar APT1 87% z nich ma swoje siedziby w krajach, w których angielski jest językiem ojczystym.
• Firmy lub organizacje rządowe, które są ofiarami przestępstw, są zlokalizowane głównie w Stanach Zjednoczonych, Kanadzie i Wielkiej Brytanii, w 20 różnych branżach. Zidentyfikowano tylko jedną francuską firmę.

Firma kończy raport, wskazując, że ta grupa APT1 utrzymuje rozległą infrastrukturę systemów IT na całym świecie:

• W ciągu ostatnich dwóch lat firma obserwowała, jak grupa APT1 ustanowiła prawie tysiąc serwerów dowodzenia (C2), hostowanych na oddzielnych adresach IP w 13 krajach. Większość z tych 849 unikalnych adresów IP została zarejestrowana w Chinach (709), a następnie w Stanach Zjednoczonych (109). Ponadto w 97% zidentyfikowanych przypadków hakerzy łączyli się z tymi serwerami dowodzenia i kontroli z adresów IP znajdujących się w regionie Szanghaju w Chinach.
• W tym samym okresie firma zidentyfikowała 2551 w pełni  kwalifikowanych nazw domen internetowych przypisanych do APT1. Zwróć uwagę, że firma Mandiant opublikowała listę tych nazw domen na swojej stronie internetowej.

Grupa Szanghaj to jednostka 61398

Według firmy Mandiant najbardziej prawdopodobną hipotezą jest to, że cyber-szpiegowska grupa APT1 lub Shanghai Group to chińska jednostka wojskowa 61398:

• Ze względu na skalę tych operacji szpiegowskich tylko państwo jest w stanie zmobilizować tak wiele zasobów finansowych, ludzkich i materialnych w tak długim okresie;
• Umiejętności techniczne i językowe wymagane do wykonywania tych misji są podobne do umiejętności rekrutowanych przez  wydział 3 E Sztabu Generalnego armii chińskiej , zwłaszcza Jednostkę 61398 (która specjalizuje się w Stanach Zjednoczonych i Kanadzie);
• Schematy taktyczne, metody i procedury są rygorystycznie stosowane przez cyber-szpiegów, podobnie jak wojsko: Mandiant nie zidentyfikował żadnego zniszczenia danych ani oszustwa finansowego w organizacjach ofiar, co jest ostrym przeciwieństwem hakerów lub przestępczości zorganizowanej ;
• Analiza sektorów działalności 141 obserwowanych organizacji wskazuje na wyraźną korelację z celami strategicznymi dwunastego chińskiego planu pięcioletniego (2011-2015) w zakresie sektorów gospodarki, które mają być rozwijane;
• Większość zebranych informacji (adresy IP, wykorzystywane współrzędne, lokalizacja niektórych cyber-szpiegów, systemy opracowane i używane w języku chińskim) w ciągu tych 7 lat zbiera się w tej samej lokalizacji, tj. W Szanghaju.

Głęboka część chińskiej góry lodowej cyberszpiegostwa gospodarczego

Szereg krajów ma podobno zdolności do szpiegostwa cybernetycznego: przede wszystkim Stany Zjednoczone, ale także Rosja, Izrael i Francja. Niemniej jednak, sama ilość skradzionych wrażliwych danych i liczba organizacji, które zgłosiły ofiary, sprawiły, że jednostka 61398 może być tylko „wierzchołkiem góry lodowej” jednej z największych operacji szpiegowskich i przemysłowych w historii.

Oskarżenia odrzucone przez chińskie władze

Chiński rząd stanowczo zaprzeczył, że stoi za tymi działaniami cyber-szpiegowskimi:

• W tym samym dniu, w którym firma opublikowała raport, 18 lutego 2013 r., Chińskie Ministerstwo Spraw Zagranicznych stwierdziło, że zarzuty były „nieodpowiedzialne i nieprofesjonalne” i przypomniało, że „Chiny zdecydowanie sprzeciwiają się działaniom pirackim. bronić się przed działaniami hakerskimi w Internecie ”.
• A 20 lutego 2013 r. Chińskie Ministerstwo Obrony Narodowej wskazało, że zarzuty firmy są „de facto bezpodstawne”.

Jednak rząd chiński nie zaprzeczył istnieniu tej jednostki, a zdjęcia i filmy z budynku, który miał być jego siedzibą, zostały podjęte przez liczne media.

Uwagi i odniesienia

1. (w) John Avlon i Sam Schlinkert, This Is How China Hacks America: Inside the Mandiant Report , The Daily Beast, 19 lutego 2013 do przeczytania online
2. Anne Flaherty, Spojrzenie na Mandiant, zarzuty dotyczące hakowania w Chinach, Associated Press, 20 lutego 2012 do przeczytania online
3. (w) „  Chińska jednostka wojskowa jest postrzegana jako powiązana z hakowaniem przeciwko USA  ” , The New York Times ,18 lutego 2013(dostęp 25 lutego 2013 )
4. "  Raport" Zajmowanie informacji High Ground: Chinese Capabilities for Computer Network Operations and Cyber ​​Espionage "przygotowany dla Chińsko -Amerykańskiej Komisji Bezpieczeństwa Kongresu Stanów Zjednoczonych  " na uscc.gov ,12 marca 2012, s.  47
5. "  Mandiant APT1 Report  " ,2013, s.  8
6. "  Mandiant APT1 Report  " ,2013, s.  9
7. (w) "  Chińska Armia Ludowo-Wyzwoleńcza sygnalizuje wywiad i rozpoznawanie infrastruktury cybernetycznej  " ,11 listopada 2011, s.  8
8. Urszula Gauthier "  jednostkę, która szpiegów Europie 61046  " L'Obs , n O  2613,4 grudnia 2014, s.  41 ( ISSN  0029-4713 )
9. (w) "  Chińska Armia Ludowo-Wyzwoleńcza sygnalizuje wywiad i rozpoznawanie infrastruktury cybernetycznej  " ,11 listopada 2011, s.  10
10. (w) "  PLA Unit 61398 Recruitment Notice Found  " , China Digital Times,20 lutego 2013(dostęp 2 marca 2013 ) , s.  10
11. (w) „  Internet Sleuths Add Evidence to Chinese Military Hacking Charges  ” , New York Times,27 lutego 2013
12. "  Mandiant APT1 Report  " ,2013, s.  3
13. "  Mandiant APT1 Report  " ,2013, s.  19 Opublikowany w raporcie wewnętrzny dokument China Telecom 2009 dotyczy jednostki 61398 oddziału 3 E  Sztabu Generalnego oraz budowy sieci dla Obrony Narodowej
14. Sébastian SEIBT, „  Unit 61398, Chinese Cyber ​​Spy Nest?  » , Na france24.com ,19 lutego 2013(dostęp 21 marca 2012 )
15. "  Mandiant APT1 Report  " ,2013, s.  11 Firma oszacowała liczbę pracowników na podstawie wielkości i powierzchni budynku zajmowanego przez tę jednostkę
16. (w) "  Hakerzy chińskiej armii to wierzchołek cyberwarfare góry lodowej  " , The Guardian,23 lutego 2013(dostęp 24 lutego 2013 )
17. (en) „  Hackers Linked to China's Army Seen From EU to DC  ” , Bloomberg.com ,27 lipca 2012(dostęp 2 marca 2013 )
18. Mark Clayton , „  Stealing US tajemnice biznesowe: Eksperci identyfikują dwa ogromne„ gangi ”cybernetyczne w Chinach  ”, CSMonitor,14 września 2012(dostęp 24 lutego 2013 )
19. (w) „  Mandiant Corp. Goes Viral After China Hacking Report  ” , Arab Times,23 lutego 2013(dostęp 25 lutego 2013 )
20. "  Mandiant APT1 Report  " ,2013, s.  2
21. „  Chińska jednostka wojskowa jest postrzegana jako powiązana z hakowaniem przeciwko USA  ” , New York Times,18 lutego 2013
22. Brian Price, Fake Mandiant Chinese Hacking Report used in Attack Campaign , Security Week, 21 lutego [2013 do przeczytania online
23. "  Mandiant APT1 Report  " ,2013, s.  20
24. "  Mandiant APT1 Report  " ,2013, s.  25
25. "  Mandiant APT1 Report  " ,2013, s.  21
26. "  Jednostka 61398, chińskie gniazdo cyber-szpiegów?"  » , Francja 24 ,19 lutego 2013(dostęp 24 lutego 2013 )
27. „  Mandiant APT1 Report  ” ,2013, s.  4
28. "  Mandiant APT1 Report  " ,2013, s.  59 i 60
29. „  Stany Zjednoczone uważane za cel masowej kampanii szpiegowskiej  ” , Washington Post,10 lutego 2013(dostęp na 1 st marca 2013 )
30. (w) „  Chińska jednostka wojskowa jest postrzegana jako powiązana z hakowaniem przeciwko USA  ” The New York Times18 lutego 2013(dostęp 25 lutego 2013 )
31. (w) „  Chiny Mówi Armia nie zalega ataków w raporcie  ” The New York Times20 lutego 2013(dostęp 25 lutego 2013 )
32. (w) „  Reuters - 61398 Unity  ” , Reuters,19 lutego 2013(dostęp 4 marca 2013 )

Zobacz też

Źródła i bibliografia

• (en) APT1 - ujawnianie jednej z chińskich jednostek cyberszpiegostwa, Stany Zjednoczone, zlecenie prywatnej amerykańskiej firmy zajmującej się bezpieczeństwem IT,18 lutego 2013, 74 (bez załączników)  s. ( czytaj online )

Podobne jednostki

• Zespół Tailored Dostęp Operacje z NSA
• Biuro 121 Spośród Armii Ludowej koreańskiego

Powiązane artykuły

• Zaawansowane trwałe zagrożenie (APT)
• Cyberatak
• Cyberobrona
• Wojna cybernetyczna
• Szpiegostwo przemysłowe
• Elektroniczna wojna
• Wojna informacyjna
• Zagrożenia bezpieczeństwa IT

Linki zewnętrzne

• Film firmy Mandiant pokazujący tryb pracy grupy APT1 (na Youtube)