Enhet 61398

61398 部队
PLA Flagg
Opprettelse	2004 (estimert)
Land	Kina
Troskap	Folkets frigjøringshær
Roll	spionasje
Effektiv	2000 (estimert)
Er del av	3 E  avdeling for generalstaben i den kinesiske hæren

Den 61398 enhet (kinesisk: 61398部队) av Folkets frigjøringshær , basert i Shanghai , er ansvarlig for å gjennomføre militære operasjoner innen datanettverk .

I en rapport publisert 18. februar 2013 beskylder datasikkerhetsselskapet Mandiant denne enheten av den kinesiske hæren for å ha vært opprinnelsen siden 2006 for en omfattende cyberspionasjeaksjon, hovedsakelig mot angelsaksiske selskaper og organisasjoner. Den kinesiske regjeringen nektet straks å stå bak nettangrepene .

Presentasjon

Den 3 E  -avdelingen av generalstaben av kinesiske hæren , hvis tallene er anslått til 130.000 mennesker, spesielt aktiviteter lik som den National Security Agency (NSA).

Innenfor denne 3 rd avdeling, enhet 61398 (også kalt 2 nd  kontor), som ikke har noen offisiell eksistens i organisasjonskartet av den kinesiske hæren, er spesielt ansvarlig for etterretningsvirksomhet i saker politiske, økonomiske og militære. Denne enheten vil fokusere på USA og Canada , mens 61046 enheten (også kalt 8 th  kontor) er spesialisert på Europa.

Den eksakte datoen for opprettelsen av denne enheten er fortsatt ukjent, men den rekrutterte unge informatikere fra Zhejiang University allerede i 2004.

Tidlig i 2007 begynte byggingen av en bygning dedikert til denne enheten i distriktet Pudong i Shanghai . I 2009 hadde denne enheten, i navnet "statsfornuft", nytte av støtten fra den statlige operatøren China Telecom til å bygge sin fiberoptiske nettverksarkitektur. Bygningen ligger på 208 Datong Road, har tolv etasjer og 12138  m 2 .

I 2013 ble styrken til denne enheten estimert til 2000 personer.

Gjentatte mistanker om cyberspionasje 2002-2012

I årevis har datasikkerhetseksperter advart stater og bedrifter om økningen i forsøk på nettangrep fra Kina, men uten å overbevise - offentlig - om å demonstrere det.

To cyberspiongrupper , Comment Crew og Elderwood Group , som begge antas å ha deltatt i Operasjon Aurora , mistenkes likevel regelmessig for å være knyttet til Kina.

Spesielt Comment Crew- gruppen sies å være basert i Shanghai og knyttet til den kinesiske hæren:

• Det amerikanske datasikkerhetsselskapet Fireye tilskriver denne gruppen mer enn tusen nettangrep mellom 2002 og 2012;
• Denne gruppen ville være opprinnelsen til nettangrep mot mange selskaper som RSA Security , DuPont eller British American Tobacco  ;
• Denne gruppen er også interessert i ledende politikere: det ville være opprinnelsen til tyveriet på mindre enn 14 minutter av den elektroniske posten til presidenten for EU-kommisjonen i juli 2012 under forhandlingene om den greske økonomiske krisen;
• Det er også identifisert under navnet Shanghai Group eller Byzantine Candor (sistnevnte navn er nevnt i en amerikansk diplomatkabel fra 2008 avduket av Wikileaks ).

Direkte beskyldninger om cyberspionasje i 2013

Rapport APT1- selskapet Mandiant publisert i februar 2013

Det private amerikanske datasikkerhetsselskapet Mandiant ble grunnlagt i 2004 av Kevin Mandia, som tidligere var etterforsker av nettvåpen i USAs luftvåpen.

Siden starten har dette selskapet undersøkt brudd på datasikkerhet fra hundrevis av organisasjoner over hele verden. I 2006 identifiserte hun et team av hackere som utførte cyberspionasje som hun kalte APT1 (Mandiant identifiserte mer enn 20 lignende grupper i alt, hvis angrep stammer fra Kina). Og hittil, i 2013, er denne APT1- gruppen ifølge sine observasjoner en av de mest produktive cyberspiongruppene når det gjelder mengden informasjon som blir stjålet.

På grunn av omfanget av nettangrep, mengden følsomme data stjålet og deres innvirkning, publiserte selskapet 18. februar 2013 en rapport om aktivitetene til denne APT1- gruppen (også kjent som Comment Crew eller Shanghai Group ). Det skal bemerkes at all publisert informasjon kommer enten fra deres direkte observasjoner de siste 7 årene, eller fra informasjon som er fritt tilgjengelig på internett.

Etter publiseringen av rapporten ble den distribuert som spam av hackere infisert med virus.

Shanghai Group Cyber ​​Spy Group

I følge Mandiant- selskapet har cyber- spiongruppen APT1 systematisk stjålet, siden 2006, veldig store datamengder i minst 141 organisasjoner, og har vist sin evne til å spionere på dusinvis av organisasjoner samtidig:

• Denne operasjonen ville ha gjort det mulig å stjele veldig store mengder (flere hundre terabyte ) sensitiv informasjon ved å infiltrere datanettverk.
• Stjålet informasjon dekker et bredt spekter av sensitive data når det gjelder strategi (interne notater, agendaer, rapporter), produktutvikling (teknologi, systemdesign, manualer, testresultater), industrielle prosesser (standarder, proprietære prosedyrer), kommersiell informasjon (forretningsplaner) , kontraktforhandlinger, prisliste), ekstern vekstoperasjon (fusjoner / oppkjøp) eller partnerskap, innhold i ledernes elektroniske postkasser, samt brukernavn og passord.
• Gruppen lykkes med å opprettholde tilgangen til datanettverk i en gjennomsnittlig periode på ett år (356 dager). I ett tilfelle klarte gruppen å opprettholde tilgangen til selskapets interne nettverk i 1764 dager, eller fire år og ti måneder.

I følge den samme Mandiant- selskapsrapporten fokuserer APT1 cyber- spiongruppen på engelsktalende organisasjoner:

• Blant de 141 ofrene for APT1 har 87% av dem hovedkontor i land der engelsk er morsmål.
• De utsatte selskapene eller offentlige organisasjonene er hovedsakelig lokalisert i USA, Canada og Storbritannia, i 20 forskjellige bransjer. Bare ett fransk selskap er identifisert.

Selskapet fullfører sin rapport med å spesifisere at denne APT1- gruppen opprettholder en enorm infrastruktur av IT-systemer over hele verden:

• I løpet av de siste to årene har selskapet sett på at APT1- gruppen etablerte nesten tusen Command and Control (C2) servere, vert på separate IP-adresser i 13 land. Flertallet av de 849 unike IP-adressene var registrert i Kina (709), etterfulgt av USA (109). I tillegg, i 97% av tilfellene som ble identifisert, var hackere koblet til disse kommando- og kontrollserverne fra IP-adresser i Shanghai-regionen i Kina.
• I løpet av samme periode identifiserte selskapet 2551 fullt  kvalifiserte internettdomener tildelt APT1. Merk at Mandiant- selskapet har publisert listen over disse domenenavnene på nettstedet.

Shanghai Group vil være enhet 61398

I følge Mandiant- selskapet er den mest sannsynlige hypotesen at cyberspiongruppen kalt APT1 eller Shanghai Group er den kinesiske hærenhet 61398:

• På grunn av omfanget av disse cyberspionasjeoperasjonene , er det bare en stat som er i stand til å mobilisere så mange økonomiske, menneskelige og materielle ressurser over en så lang periode;
• De tekniske og språklige ferdighetene som kreves for å utføre disse oppdragene, ligner på ferdighetene som ble rekruttert av 3 E-  avdelingen til generalstaben i den kinesiske hæren , spesielt Unit 61398 (som er spesialisert i USA og Canada);
• De taktiske ordningene, metodene og prosedyrene blir brukt strengt av cyber-spioner, og det samme vil militæret: Mandiant har ikke identifisert noen ødeleggelse av data eller økonomisk svindel i offerorganisasjonene, noe som står i skarp kontrast til hackere eller organisert kriminalitet ;
• Analysen av aktivitetssektorene til de 141 organisasjonene som ble spionert, viser en klar sammenheng med de strategiske målene i den tolvte kinesiske femårsplanen (2011-2015) når det gjelder økonomiske sektorer som skal utvikles;
• Det meste av informasjonen som er samlet inn (IP-adresser, koordinater som brukes, plassering av visse cyber-spioner, systemer som er utviklet og brukt på kinesisk) i løpet av disse 7 årene konvergerer på samme sted, dvs. Shanghai.

Dyp del av det kinesiske økonomiske isbjerget

Flere land er kjent for å ha cyberspionasjemuligheter: først og fremst USA, men også Russland, Israel og Frankrike. Likevel, det store volumet av stjålne sensitive data og antall organisasjoner som rapporterte omkomne, kunne 61398-enheten bare være "toppen av isfjellet" til en av de største spionasjeoperasjonene og industrihistorien.

Beskyldninger tilbakevist av kinesiske myndigheter

Den kinesiske regjeringen har kraftig nektet for å stå bak disse cyberspionasjeaktivitetene:

• Samme dag som selskapet publiserte rapporten, 18. februar 2013, erklærte Kinas utenriksdepartementet påstandene som "uansvarlige og uprofesjonelle" og minnet om at "Kina er sterkt imot hackingaksjoner. Og har etablert lover og forskrifter og tatt strenge politietiltak å forsvare seg mot online hackingaktiviteter ”.
• Og 20. februar 2013 indikerte det kinesiske forsvarsdepartementet at påstandene fra selskapet er "faktisk ubegrunnede".

Imidlertid har den kinesiske regjeringen ikke benektet eksistensen av denne enheten, mens bildene og videoene av bygningen som skal være hovedkvarteret har blitt tatt opp av mange medier.

Merknader og referanser

1. (i) John Avlon og Sam Schlinkert, dette er hvordan Kina Hacks America: Inside the Mandiant Rapporter , The Daily Beast, 19 februar 2013 for å lese online
2. Anne Flaherty, En titt på Mandiant, påstander om hacking av Kina, Associated Press, 20. februar 2012 for å lese online
3. (in) "  Chinese Army Unit Is Seen as Tied to Hacking Against US  " , The New York Times ,18. februar 2013(åpnet 25. februar 2013 )
4. "  Rapport" Occupying the Information High Ground: Chinese Capabilities for Computer Network Operations and Cyber ​​Espionage "utarbeidet for China / US Security Commission of the United States Congress ,  " på uscc.gov ,12. mars 2012, s.  47
5. "  Mandiant APT1 Rapporter  " ,2013, s.  8
6. "  Mandiant APT1 Rapporter  " ,2013, s.  9
7. (in) "  The Chinese People's Liberation Army Signals Intelligence and Cyber ​​Infrastructure Recognition  " ,11. november 2011, s.  8
8. Ursula Gauthier, "  Enheten 61046 som spionerer på Europa  ", L'Obs , nr .  2613,4. desember 2014, s.  41 ( ISSN  0029-4713 )
9. (in) "  The Chinese People's Liberation Army Signals Intelligence and Cyber ​​Infrastructure Recognition  " ,11. november 2011, s.  10
10. (in) "  PLA Unit 61398 Recruitment Notice Found  " , China Digital Times,20. februar 2013(åpnet 2. mars 2013 ) , s.  10
11. (in) "  Internet Sleuths legger bevis på kinesiske militære hackingkostnader  " , New York Times,27. februar 2013
12. "  Mandiant APT1 Rapporter  " ,2013, s.  3
13. "  Mandiant APT1 Rapporter  " ,2013, s.  19 Et internt dokument fra China Telecom 2009 publisert i rapporten refererer til enheten 61398 av 3 E-  avdelingen for generalstaben og byggingen av et nettverk for National Defense
14. Sébastian SEIBT, “  Unit 61398, Chinese Cyber ​​Spy Nest?  » , På france24.com ,19. februar 2013(åpnet 21. mars 2012 )
15. "  Mandiant APT1 Rapporter  " ,2013, s.  11 Selskapet estimerte antall ansatte basert på størrelse og plass på bygningen okkupert av denne enheten
16. (in) "  Kinesiske hærhacker er toppen av isfjellet  " , The Guardian,23. februar 2013(åpnet 24. februar 2013 )
17. (no) "  Hackere knyttet til Kinas hær sett fra EU til DC  " , Bloomberg.com ,27. juli 2012(åpnet 2. mars 2013 )
18. Mark Clayton , "  Stjeling av amerikanske forretningshemmeligheter: Eksperter identifiserer to store cyber" gjenger "i Kina,  " CSMonitor,14. september 2012(åpnet 24. februar 2013 )
19. (in) "  Mandiant Corp. Goes Viral After China Hacking Report  " , Arab Times,23. februar 2013(åpnet 25. februar 2013 )
20. "  Mandiant APT1 Reporter  " ,2013, s.  2
21. "Den  kinesiske hærenheten er sett på som knyttet til hacking mot USA  " , New York Times,18. februar 2013
22. Brian Price, Fake Mandiant Chinese Hacking Report brukt i Attack-kampanje , Security Week, 21. februar [2013 for å lese online
23. "  Mandiant APT1 Rapporter  " ,2013, s.  20
24. "  Mandiant APT1 Rapporter  " ,2013, s.  25
25. "  Mandiant APT1 Rapporter  " ,2013, s.  21
26. "  Unit 61398, kinesisk cyber spion reir?"  » , Frankrike 24 ,19. februar 2013(åpnet 24. februar 2013 )
27. “  Mandiant APT1 Rapporter  ” ,2013, s.  4
28. "  Mandiant APT1 Rapporter  " ,2013, s.  59 og 60
29. "  USA sies å være målet for massiv cyber-spionasje kampanje  " , Washington Post,10. februar 2013(tilgjengelig på en st mars 2013 )
30. (in) "  Chinese Army Unit Is Seed as Bundet to Hacking Against US  " The New York Times18. februar 2013(åpnet 25. februar 2013 )
31. (i) "  China Says Army Is Not Behind Attacks in Report  " , The New York Times20. februar 2013(åpnet 25. februar 2013 )
32. (in) "  Reuters - 61398 Unity  " , Reuters,19. februar 2013(åpnet 4. mars 2013 )

Se også

Kilder og bibliografi

• (en) APT1 - Å eksponere en av Kinas cyberspionasjeenheter , USA, det private amerikanske IT-sikkerhetsselskapet Mandiant,18. februar 2013, 74 (unntatt vedlegg)  s. ( les online )

Lignende enheter

• Team Tailored Access Operations av NSA
• Kontor 121 til den koreanske folkehæren

Relaterte artikler

• Avansert vedvarende trussel (APT)
• Cyberangrep
• Cyberforsvar
• Cyberkrigføring
• Industriell spionasje
• Elektronisk krigføring
• Informasjonskrig
• IT-sikkerhetsrisiko

Eksterne linker

• Video av selskapet Mandiant som viser driftsmodus for APT1 Group (på Youtube)