Enhed 61398 (PLA)

Afdeling 61398
hval. 61398 部队

Års eksistens	OKAY. 2004 - i dag
Land
Underordning	kinesiske forsvarsministerium
Inkluderet i	3. direktorat for PLA's generalstab
Type	cybertropper
Fungere	elektronisk efterretning , cyberspionage , cyberkrigsførelse
befolkning	2000 mennesker
Dislokation	Shanghai

Enhed 61398 ( kinesisk: 61398 部队) er en afdeling af People's Liberation Army of China , baseret i Shanghai , ansvarlig for at udføre militære operationer inden for computernetværk .

I en rapport offentliggjort den 18. februar 2013 anklagede computersikkerhedsfirmaet Mandiant afdelingen for at have udført storstilet cyberspionage siden 2006 , primært mod virksomheder og organisationer i engelsktalende lande [1] [2] . Den kinesiske regering afviser officielt enhver involvering i disse cyberangreb [3] .

Historie

Enhed 61398 (også kendt som "2nd Bureau"), er underordnet 3rd Directorate of the General Staff of the PLA , som betragtes som en analog af US National Security Agency (NSA) [4] .

Ifølge offentliggjorte data er enhed 61398 ansvarlig for at udføre efterretninger mod USA og Canada [5] , mens enhed 61046 (også kendt som "8th Bureau") har specialiseret sig i efterretninger mod europæiske lande [6] .

Den nøjagtige dato for oprettelse af enhed 61398 er ukendt, men det er kendt, at det i 2004 rekrutterede kandidater fra Zhejiang University - informationsteknologispecialister [7] [8] .

I begyndelsen af 2007 begyndte byggeriet af en bygning til at huse enhed 61398 i Shanghais Pudong-distrikt [9] . I 2009 blev der med støtte fra statsoperatøren China Telecom anlagt et fiberoptisk netværk i bygningen [10] . Bygningen er beliggende på 208 Datong Road, har 12 etager med et areal på 12138 kvm. [11] .

I 2013 blev enhedens styrke anslået til 2.000 personer [12] .

Mistanke om cyberspionage i perioden 2002-2012

Computersikkerhedseksperter har foreslået, at to store grupper af cyberspioner, kaldet Comment Crew og Elderwood Group i engelske kilder , som deltog i Operation Aurora (et massivt cyberangreb på en række amerikanske virksomheder i juni-december 2009), har kinesisk oprindelse [ 13] [14] .

Det er især blevet spekuleret, at Comment Crew er baseret i Shanghai og er forbundet med PLA [13] :

Det amerikanske cybersikkerhedsfirma Fireye tilskriver mere end tusinde cyberangreb, der er foretaget mellem 2002 og 2012, til denne gruppes aktiviteter;
Denne gruppe lancerede cyberangreb mod virksomheder som RSA Security , DuPont og British American Tobacco ;
Denne gruppe har også vist interesse for ledende politikere, idet de aflyttede omkring 14 minutters e-mail-samtaler mellem formanden for Europa-Kommissionen i juli 2012 under forhandlinger om at løse den økonomiske krise i Grækenland;
Denne gruppe er også blevet kaldt "Shanghai Group" ( engelsk Shanghai Group ) og Byzantine Candor (sidstnævnte navn er nævnt i amerikansk diplomatisk korrespondance udgivet af WikiLeaks i 2008).

Anklager om cyberspionage i 2013

Mandiant's 2013 APT1 Group Report

Mandiant er et amerikansk privat sikkerhedsfirma grundlagt i 2004 af Kevin Mandia, tidligere computersikkerhedsekspert i det amerikanske luftvåben [15] . Mandiant undersøgte situationen med sårbarheden af computernetværk i hundredvis af organisationer rundt om i verden [16] , og identificerede i 2006 en gruppe hackere, som blev betegnet APT1, samt mere end to dusin lignende grupper, der udførte cyberangreb fra Kina [16] ). Ifølge 2013 Mandiant -repræsentanter er APT1-gruppen en af de mest aktive inden for cyberspionage [16] .

Den 18. februar 2013 udgav Mandiant en rapport om aktiviteterne i APT1-gruppen [16] (også kaldet Comment Crew eller Shanghai Group [17] ), baseret på direkte observationer af virksomhedens ansatte gennem de seneste 7 år, samt information fra åbne internetkilder [ 16] . Efter rapporten blev offentliggjort, blev den straks hacket og inficeret med en computervirus [18] .

Cyberspionage af Shanghai Group

Siden 2006 har APT1 cyberspy group (" Shanghai Group ") systematisk stjålet store mængder data fra mindst 141 organisationer siden 2006, og infiltreret computernetværkene hos flere dusin virksomheder på samme tid, ifølge Mandiant. De stjålne oplysninger dækker en bred vifte af fortrolige data vedrørende strategier (interne notater, dagsordener, protokoller), virksomhedsprodukter ( teknologi , design , testresultater), industrielle processer ( standarder osv.), forretningsinformation (forretningsplaner, kontraktforhandlinger). , prislister, opkøb eller partnerskaber), indholdet af e-mail-korrespondance og adgangskoder til adgang til netværk [19] . Shanghai Group formåede at opretholde ulovlig adgang til virksomhedens computernetværk i gennemsnitligt et år (356 dage). I et tilfælde lykkedes det hackere at bevare deres adgang til virksomhedens interne netværk i 1764 dage (næsten 5 år) [20] .

Ifølge den indsendte rapport spionerede Shanghai-gruppen hovedsageligt mod organisationer i engelsktalende lande: 87 % af de 141 offervirksomheder har hovedkontor i lande, hvor engelsk er hovedsproget (USA, Canada og Storbritannien [21] ), og kun én virksomhed er fransk. Shanghai Group opererer på globalt plan med cirka 1.000 servere hostet på individuelle IP-adresser i 13 lande. Af disse 849 unikke IP-adresser var 709 fra Kina og 109 fra USA. Derudover blev hackere i 97 % af alle tilfælde fundet at tilhøre IP-adresser i Shanghai-området [22] . Mandiant har identificeret 2.551 domænenavne tilskrevet Shanghai Group [22] . En liste over disse domænenavne er blevet offentliggjort.

Shanghai-gruppens og divisionens identitet 61398

Ifølge Mandiant- eksperter kan det med en høj grad af sandsynlighed antages, at APT1-hackergruppen, eller Shanghai Group , ikke er andet end en division af 61398 af PLA [23] . Følgende faktorer understøtter dette:

omfanget af de cyberspionageoperationer, som denne gruppe har gennemført i lang tid, kræver en sådan mængde økonomiske, menneskelige og materielle ressourcer, som kun staten kan stille til rådighed;
de tekniske og sproglige færdigheder, der kræves for at udføre de cyberspionagefunktioner, der drives af Shanghai-gruppen , er identiske med dem i Unit 61398 (spionage mod USA og Canada);
taktik, metoder og procedurer for cyberspionagehandlinger var af ren intelligens, der var ingen tilfælde af dataødelæggelse eller økonomisk bedrageri, hvilket er typisk for almindelige hackers handlinger eller organiseret kriminalitet ;
analyse af 20 sektorer af økonomien, som 141 ofre for cyberspionage tilhører, viser en klar sammenhæng med de strategiske mål i Kinas tolvte femårsplan (2011-2015);
brugt af Shanghai-gruppen i over 7 år, IP-adresser, serverplaceringer, karakteristika for de anvendte operativsystemer angiver gruppens placering i Shanghai -området .

De kinesiske myndigheders reaktion

Den kinesiske regering afviste omgående beskyldninger om cyberspionage. Umiddelbart, den dag Mandiant- rapporten blev frigivet (18. februar 2013), udsendte det kinesiske udenrigsministerium en erklæring, der beskrev beskyldningerne i rapporten som "uansvarlige og uprofessionelle" og bemærkede også, at "Kina er stærkt imod piratkopiering ved at etablere relevante love og regler og træffer strenge foranstaltninger for at beskytte mod hackers aktiviteter” [24] .

Efter reaktionen fra Udenrigsministeriet, den 20. februar 2013, udtalte det kinesiske forsvarsministerium , at anklagerne fra Mandiant- selskabet er "ubegrundede fakta [25] ".

Samtidig benægter den kinesiske regering ikke eksistensen af enhed 61398, da fotografier og videoer af bygningen, hvor den er placeret, er blevet offentliggjort i mange medier [26] .

Se også

Kinas militære cyberoperationer

Noter

↑ John Avlon et Sam Schlinkert, This is How China Hacks America: Inside the Mandiant Report , The Daily Beast, 19. februar 2013 à lire en ligne Arkiveret 27. december 2016 på Wayback Machine
↑ Anne Flaherty, Et kig på Mandiant, påstande om Kina-hacking, Associated Press, 20. februar 2012 à lire en ligne
↑ Kinas hær ses som bundet til hacking mod USA - The New York Times . Hentet 30. september 2017. Arkiveret fra originalen 12. marts 2018. (ubestemt)
↑ Rapport Mandiant APT1 8 (2013). Hentet 1. oktober 2014. Arkiveret fra originalen 19. februar 2013. (ubestemt)
↑ Det kinesiske folks befrielseshær signalerer efterretnings- og cyberrekognosceringsinfrastruktur (link utilgængeligt) 8 (11. november 2011). Hentet 1. oktober 2014. Arkiveret fra originalen 21. oktober 2012. (ubestemt)
↑ Det kinesiske folks befrielseshær signalerer efterretnings- og cyberrekognosceringsinfrastruktur (link utilgængeligt) 10 (11. november 2011). Hentet 1. oktober 2014. Arkiveret fra originalen 21. oktober 2012. (ubestemt)
↑ PLA Unit 61398 Recruitment Notice fundet 10 (20. februar 2013). Hentet 1. oktober 2014. Arkiveret fra originalen 20. november 2014. (ubestemt)
↑ Internet-sløvere tilføjer beviser til kinesiske militære hacking-anklager (27. februar 2013). Hentet 1. oktober 2014. Arkiveret fra originalen 6. oktober 2014. (ubestemt)
↑ Rapport Mandiant APT1 3 (2013). Hentet 1. oktober 2014. Arkiveret fra originalen 19. februar 2013. (ubestemt)
↑ Rapport Mandiant APT1 19 (2013). Hentet 1. oktober 2014. Arkiveret fra originalen 19. februar 2013. (ubestemt) Un document interne de China Telecom de 2009, publicé dans le rapport, fait référence à l'Unité 61398 du 3e département de l'état-major général et à la construction d'un réseau pour la Défense nationale
↑ L'Unité 61398, nid de cyber-spions chinois ? . Hentet 1. oktober 2014. Arkiveret fra originalen 12. maj 2018. (ubestemt)
↑ Rapport Mandiant APT1 11 (2013). Hentet 1. oktober 2014. Arkiveret fra originalen 19. februar 2013. (ubestemt) La société a estimée le nombre de collaborateurs sur la base de la taille et de l'espace de l'immeuble occupé par cette unité
↑ 1 2 Hackere knyttet til Kinas hær set fra EU til DC (27. juli 2012). Hentet 30. september 2017. Arkiveret fra originalen 11. januar 2015. (ubestemt)
↑ Stjæler amerikanske forretningshemmeligheder: Eksperter identificerer to enorme cyber-"bander" i Kina (14. september 2012). Hentet 1. oktober 2014. Arkiveret fra originalen 15. november 2019. (ubestemt)
↑ Mandiant Corp går viralt efter China Hacking Report (23. februar 2013). Hentet 1. oktober 2014. Arkiveret fra originalen 3. marts 2016. (ubestemt)
↑ 1 2 3 4 5 Rapport Mandiant APT1 2 (2013). Hentet 1. oktober 2014. Arkiveret fra originalen 19. februar 2013. (ubestemt)
↑ Den kinesiske hærens enhed ses som bundet til hacking mod USA (18. februar 2013). Hentet 30. september 2017. Arkiveret fra originalen 28. maj 2018. (ubestemt)
↑ Brian Price, Fake Mandiant Chinese Hacking Report Used in Attack Campaign , Security Week, 21. februar 2013 à lire en ligne Arkiveret 1. juli 2018 på Wayback Machine
↑ Rapport Mandiant APT1 25 (2013). Hentet 1. oktober 2014. Arkiveret fra originalen 19. februar 2013. (ubestemt)
↑ Rapport Mandiant APT1 21 (2013). Hentet 1. oktober 2014. Arkiveret fra originalen 19. februar 2013. (ubestemt)
↑ L'Unité 61398, nid de cyber-spions chinois ? (19. februar 2013). Hentet 1. oktober 2014. Arkiveret fra originalen 12. maj 2018. (ubestemt)
↑ 1 2 Rapport Mandiant APT1 4 (2013). Hentet 1. oktober 2014. Arkiveret fra originalen 19. februar 2013. (ubestemt)
↑ Rapport Mandiant APT1 59 et 60 (2013). Hentet 1. oktober 2014. Arkiveret fra originalen 19. februar 2013. (ubestemt)
↑ Den kinesiske hærens enhed ses som bundet til hacking mod USA (18. februar 2013). Hentet 30. september 2017. Arkiveret fra originalen 12. marts 2018. (ubestemt)
↑ Kina siger, at hæren ikke står bag angreb i rapporten (20. februar 2013). Hentet 30. september 2017. Arkiveret fra originalen 12. marts 2018. (ubestemt)
↑ Reuters - Unity 61398 (19. februar 2013). Hentet 30. september 2017. Arkiveret fra originalen 6. oktober 2014. (ubestemt)

Links

APT1 - Eksponering af en af Kinas cyberspionageenheder

Hackerangreb fra 2000'erne
Største angreb	Operation Bot Roast Operation Red October Projekt "Kanologi" titanium regn
Grupper og fællesskaber af hackere	Anonym Enhed 61398 (PLA)
enlige hackere	Dmitry Sklyarov
Opdaget kritiske sårbarheder	Splintrede angreb
Computervirus	Agent.BTZ Anna Kournikova Asprox Bagdør.Win32.Sinoval Bagle Blaster Bredolab Cabir Careto kode rød Kode Rød II Commwarrior Conficker Cutwail donbot Festi Fizzer JEG ELSKER DIG Klez Koobface Kraken Mariposa Mega D Metulji Mocmex mydoom mytob Neshta netsky NetTraveler Nimda Penetrator At klemme Efeu RFID-virus Rustock Salitet Santy Sasser ædru Så stor SpyEye SQL Slammer Srizby Storm Orm Torpig Virut Vulcanbot Waledac Nul adgang Zeus Zobot
1990'erne • 2000'erne • 2010'erne

Hackerangreb fra 2010'erne
Største angreb	Cyber angreb i Australien (2010) Operation Digi Notar Operation Hacking og nedlukning af PlayStation Network Operation iståge Operation Red October email LinkedIn hack (2012) Cyber angreb på Sydkorea (2013) snapchat Driftsvarer Masse hacking af iCloud-konto Hacking af Sony Pictures Entertainment-servere Cyberangreb på den amerikanske demokratiske nationale komité Cyberangreb på Dyn Cyberangreb på Palace of Westminster WannaCry ransomware angreb Hackerangreb på Ukraine (2017)
Grupper og fællesskaber af hackere	Anonym international Anonym cyberkut Division 121 Hyggelig bjørn Derp GNAA fantasibjørn Goatse Security Lizard Squad LulzRaft LulzSec NullCrew Afdeling 61398 RedHack Syrisk elektronisk hær Yemens elektroniske hær Irans elektroniske hær TeaMp0isoN adgangsoperationer UGNazi
enlige hackere	Jeremy Hammond George Hotz Guccifer Guccifer Sabu Topiary The Jester weev
Opdaget kritiske sårbarheder	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) PUDLE (SSL, 2014) Rootpipe (OSX, 2014) JASBUG (Windows, 2015) Stagefright (Android, 2015) DROWN (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty Cow (Linux, 2016) EternalBlue ( SMBv1 , 2017) DoublePulsar (2017) KRACK (2017) ROCA (2017) BlueBorn (2017) Nedsmeltning (2018) Spectre (2018) Blue Keep (2019)
Computervirus	Asprox dårlig kanin BASHLIT Bredolab Carbanak carberp Careto carna Citadel CryptoLocker Cutwail Dexter donbot Dridex duqu EternalRocks FinFisher flamme Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye stjerner Stuxnet TDL-4 Virut Vulcanbot WannaCry Nul adgang ANT katalog
2000'erne • 2010'erne • 2020'erne