Jednotka 61398 (PLA)

Jednotka 61398 ( čínsky: 61398 部队) je divize Čínské lidové osvobozenecké armády se sídlem v Šanghaji , zodpovědná za vedení vojenských operací v oblasti počítačových sítí .

Ve zprávě zveřejněné 18. února 2013 obvinila společnost pro počítačovou bezpečnost Mandiant divizi z provádění rozsáhlé kybernetické špionáže od roku 2006 , především proti společnostem a organizacím v anglicky mluvících zemích [1] [2] . Čínská vláda oficiálně popírá jakoukoli účast na těchto kyberútocích [3] .

Historie

Jednotka 61398 (také známá jako „2nd Bureau“) je podřízena 3. ředitelství generálního štábu PLA , které je považováno za obdobu americké Národní bezpečnostní agentury (NSA) [4] .

Podle zveřejněných údajů je jednotka 61398 odpovědná za provádění zpravodajských informací proti Spojeným státům a Kanadě [5] , zatímco jednotka 61046 (známá také jako „8. úřad“) se specializuje na zpravodajské služby proti evropským zemím [6] .

Přesné datum vytvoření jednotky 61398 není známo, ale ví se, že v roce 2004 rekrutovala absolventy Zhejiang University  - specialisty na informační technologie [7] [8] .

Počátkem roku 2007 byla zahájena výstavba budovy pro umístění jednotky 61398 v šanghajské čtvrti Pudong [9] . V roce 2009 byla za podpory státního operátora China Telecom v objektu položena optická síť [10] . Budova se nachází na 208 Datong Road, má 12 pater o rozloze 12138 m2. [11] .

V roce 2013 byla síla jednotky odhadována na 2000 osob [12] .

Podezření z kybernetické špionáže v období 2002-2012

Experti na počítačovou bezpečnost navrhli, že dvě velké skupiny kyberšpionů, v anglických zdrojích nazývané Comment Crew a Elderwood Group , které se zúčastnily operace Aurora (masivního kybernetického útoku na řadu amerických společností v červnu až prosinci 2009), mají čínský původ [ 13] [14] .

Konkrétně se spekulovalo, že skupina Comment Crew sídlí v Šanghaji a je spojena s CHKO [13] :

• Americká kyberbezpečnostní společnost Fireye připisuje aktivitám této skupiny více než tisíc kyberútoků podniknutých v letech 2002 až 2012;
• Tato skupina zahájila kybernetické útoky proti společnostem jako RSA Security , DuPont a British American Tobacco ;
• Tato skupina také projevila zájem o přední politiky, když v červenci 2012 během jednání o řešení hospodářské krize v Řecku zachytila ​​asi 14 minut e-mailových konverzací mezi předsedou Evropské komise ;
• Tato skupina byla také nazývána „Shanghai Group“ ( anglicky  Shanghai Group ) a Byzantine Candor (poslední název je uveden v americké diplomatické korespondenci zveřejněné WikiLeaks v roce 2008).

Obvinění z kybernetické špionáže z roku 2013

Mandiant's 2013 APT1 Group Report

Mandiant  je americká soukromá bezpečnostní společnost založená v roce 2004 Kevinem Mandiou, dříve expertem na počítačovou bezpečnost v americkém letectvu [15] . Mandiant studoval situaci se zranitelností počítačových sítí ve stovkách organizací po celém světě [16] a v roce 2006 identifikoval skupinu hackerů, která dostala označení APT1, a také více než dvě desítky podobných skupin, které prováděly kybernetické útoky z Číny [16] ). Podle zástupců Mandiant z roku 2013 je skupina APT1 jednou z nejaktivnějších v oblasti kybernetické špionáže [16] .

Dne 18. února 2013 vydala společnost Mandiant zprávu o činnosti skupiny APT1 [16] (také označovaná jako Comment Crew nebo Shanghai Group [17] ), na základě přímých pozorování zaměstnanců společnosti za posledních 7 let, i informace z otevřených internetových zdrojů [16] . Po zveřejnění zprávy byla okamžitě hacknuta a infikována počítačovým virem [18] .

Kybernetická špionáž ze strany Shanghai Group

Od roku 2006 kyberšpionážní skupina APT1 (" Shanghai Group ") od roku 2006 systematicky krade velká množství dat od nejméně 141 organizací, přičemž podle Mandiant proniká do počítačových sítí několika desítek společností současně. Ukradené informace pokrývají širokou škálu důvěrných údajů týkajících se strategií (interní poznámky, agendy, protokoly), produktů společnosti ( technologie , design , výsledky testů), průmyslových procesů ( normy atd.), obchodních informací (obchodní plány, vyjednávání smluv). , ceníky, akvizice či partnerství), obsah e-mailové korespondence a hesla pro přístup do sítí [19] . Shanghai Group se podařilo udržet nelegální přístup do firemních počítačových sítí v průměru rok (356 dní). V jednom případě se hackerům podařilo udržet přístup do vnitřní sítě společnosti po dobu 1764 dní (téměř 5 let) [20] .

Podle předložené zprávy Shanghai Group špehovala hlavně proti organizacím v anglicky mluvících zemích: 87 % ze 141 obětí firem má sídlo v zemích, kde je angličtina hlavním jazykem (USA, Kanada a Spojené království [21] ), a pouze jedna společnost je francouzská. Shanghai Group působí v celosvětovém měřítku, s přibližně 1 000 servery hostovanými na individuálních IP adresách ve 13 zemích. Z těchto 849 unikátních IP adres bylo 709 z Číny a 109 z USA. Navíc bylo v 97 % všech případů zjištěno, že hackeři patří k IP adresám nacházejícím se v oblasti Šanghaje [22] . Mandiant identifikoval 2 551 doménových jmen přiřazených Shanghai Group [22] . Byl zveřejněn seznam těchto doménových jmen.

Identita Shanghai Group a divize 61398

Podle expertů z Mandiantu lze s vysokou mírou pravděpodobnosti předpokládat, že hackerská skupina APT1 neboli Shanghai Group není ničím jiným než divizí 61398 CHKO [23] . Podporují to následující faktory:

• rozsah kyberšpionážních operací, které tato skupina dlouhodobě provádí, vyžaduje takové množství finančních, lidských a materiálních zdrojů, které může poskytnout pouze stát;
• technické a jazykové dovednosti potřebné k výkonu funkcí kybernetické špionáže provozovaných Shanghai Group jsou totožné s dovednostmi jednotky 61398 (špionáž proti Spojeným státům a Kanadě);
• taktika, metody a postupy kyberšpionážních akcí byly čistě zpravodajského charakteru, nedošlo k žádným případům zničení dat nebo finančních podvodů, což je typické pro jednání běžných hackerů nebo organizovaného zločinu ;
• analýza 20 sektorů ekonomiky, do kterých patří 141 obětí kybernetické špionáže, ukazuje jasnou korelaci se strategickými cíli čínského dvanáctého pětiletého plánu (2011-2015);
• používá Shanghai Group více než 7 let, IP adresy, umístění serverů, charakteristiky používaných operačních systémů ukazují umístění skupiny v oblasti Šanghaje .

Reakce čínských úřadů

Čínská vláda okamžitě odmítla obvinění z kybernetické špionáže. Okamžitě, v den zveřejnění zprávy Mandiant (18. února 2013), čínské ministerstvo zahraničí vydalo prohlášení, v němž označilo obvinění uvedená ve zprávě za „nezodpovědná a neprofesionální“ a také poznamenalo, že „Čína se důrazně staví proti pirátství zavedením příslušných zákonů a předpisy a přijímá přísná opatření na ochranu před aktivitami hackerů“ [24] .

Po reakci Ministerstva zahraničních věcí čínské ministerstvo obrany 20. února 2013 uvedlo, že obvinění společnosti Mandiant jsou „nepodložená fakta [25] “.

Čínská vláda přitom existenci jednotky 61398 nepopírá, protože fotografie a videa budovy, kde se nachází, byly zveřejněny v mnoha médiích [26] .

Viz také

• Vojenské kybernetické operace ČLR

Poznámky

1. ↑ John Avlon a Sam Schlinkert, This is How China Hacks America: Inside the Mandiant Report , The Daily Beast, 19. fevrier 2013 à lire en ligne Archivováno 27. prosince 2016 na Wayback Machine
2. ↑ Anne Flaherty, Pohled na Mandiant, obvinění z čínského hackingu, Associated Press, 20. února 2012 à lire en ligne
3. ↑ Čínská armáda je považována za spojenou s hackerstvím proti USA - The New York Times . Získáno 30. září 2017. Archivováno z originálu 12. března 2018. (neurčitý)
4. ↑ Rapport Mandiant APT1 8 (2013). Získáno 1. října 2014. Archivováno z originálu 19. února 2013. (neurčitý)
5. ↑ Čínská lidová osvobozenecká armáda signalizuje zpravodajství a infrastrukturu kybernetického průzkumu (odkaz není k dispozici) 8 (11. listopadu 2011). Získáno 1. října 2014. Archivováno z originálu 21. října 2012. (neurčitý) 
6. ↑ Čínská lidová osvobozenecká armáda signalizuje zpravodajství a infrastrukturu kybernetického průzkumu (odkaz není k dispozici) 10 (11. listopadu 2011). Získáno 1. října 2014. Archivováno z originálu 21. října 2012. (neurčitý) 
7. ↑ Jednotka CHKO 61398 Oznámení o náboru nalezeno 10 (20. února 2013). Získáno 1. října 2014. Archivováno z originálu 20. listopadu 2014. (neurčitý)
8. ↑ Internetoví detektivové přidávají důkazy k obviněním z hackerských útoků čínské armády (27. února 2013). Získáno 1. října 2014. Archivováno z originálu 6. října 2014. (neurčitý)
9. ↑ Rapport Mandiant APT1 3 (2013). Získáno 1. října 2014. Archivováno z originálu 19. února 2013. (neurčitý)
10. ↑ Rapport Mandiant APT1 19 (2013). Získáno 1. října 2014. Archivováno z originálu 19. února 2013.  (neurčitý) Dokument Interne de China Telecom z roku 2009, zveřejněný ve vztahu, fait référence à l'Unité 61398 z 3e departement de l'état-major generál a à la construction d'un réseau pour la Défense nationale
11. ↑ L'Unité 61398, nid de cyber-spions chinois ? . Získáno 1. října 2014. Archivováno z originálu 12. května 2018. (neurčitý)
12. ↑ Rapport Mandiant APT1 11 (2013). Získáno 1. října 2014. Archivováno z originálu 19. února 2013.  (neurčitý) La société a estimée le nombre de collaborateurs sur la base de la taille et de l'espace de l'immeuble occupé par cette unité
13. ↑ 1 2 Hackeři spojení s čínskou armádou viděni z EU do DC (27. juillet 2012). Získáno 30. září 2017. Archivováno z originálu 11. ledna 2015. (neurčitý)
14. ↑ Krádež obchodních tajemství USA: Experti identifikovali dva obrovské kybernetické „gangy“ v Číně (14. září 2012). Získáno 1. října 2014. Archivováno z originálu 15. listopadu 2019. (neurčitý)
15. ↑ Mandiant Corp se stal virálním po zprávě o hackování Číny (23. února 2013). Získáno 1. října 2014. Archivováno z originálu 3. března 2016. (neurčitý)
16. ↑ 1 2 3 4 5 Rapport Mandiant APT1 2 (2013). Získáno 1. října 2014. Archivováno z originálu 19. února 2013. (neurčitý)
17. ↑ Jednotka čínské armády je považována za spojenou s hackováním proti USA (18. února 2013). Získáno 30. září 2017. Archivováno z originálu 28. května 2018. (neurčitý)
18. ↑ Brian Price, zpráva o falešném čínském hackování Mandiant použitá v útočné kampani , Týden bezpečnosti, 21. února 2013 à lire en ligne Archivováno 1. července 2018 na Wayback Machine
19. ↑ Rapport Mandiant APT1 25 (2013). Získáno 1. října 2014. Archivováno z originálu 19. února 2013. (neurčitý)
20. ↑ Rapport Mandiant APT1 21 (2013). Získáno 1. října 2014. Archivováno z originálu 19. února 2013. (neurčitý)
21. ↑ L'Unité 61398, nid de cyber-spions chinois ? (19. února 2013). Získáno 1. října 2014. Archivováno z originálu 12. května 2018. (neurčitý)
22. ↑ 1 2 Rapport Mandiant APT1 4 (2013). Získáno 1. října 2014. Archivováno z originálu 19. února 2013. (neurčitý)
23. ↑ Rapport Mandiant APT1 59 et 60 (2013). Získáno 1. října 2014. Archivováno z originálu 19. února 2013. (neurčitý)
24. ↑ Jednotka čínské armády je považována za spojenou s hackováním proti USA (18. února 2013). Získáno 30. září 2017. Archivováno z originálu 12. března 2018. (neurčitý)
25. ↑ Čína tvrdí, že armáda není za útoky ve zprávě (20. února 2013). Získáno 30. září 2017. Archivováno z originálu 12. března 2018. (neurčitý)
26. ↑ Reuters - Unity 61398 (19. února 2013). Získáno 30. září 2017. Archivováno z originálu 6. října 2014. (neurčitý)

Odkazy

• APT1 - Odhalení jedné z čínských kybernetických špionážních  jednotek