Підрозділ 61398

Підрозділ 61398 (кит. 61398 部队) — підрозділ Народно-визвольної армії Китаю, що базується в Шанхаї, відповідає за проведення військових операцій у галузі комп'ютерних мереж.

Підрозділ 61398 61398 部队
Засновано	приблизно 2004 по теперішній час
Країна	КНР
Належність	Міністерство оборони КНР
Вид	3-є управління Генерального штабу
Тип	Кібервійська
Роль	радіоелектронна розвідка, кібершпіонаж, кібервійна
Чисельність	2000 людей
Гарнізон/Штаб	Шанхай

У доповіді, опублікованій 18 лютого 2013 року, компанія Mandiant, що надає послуги в сфері комп'ютерної безпеки, звинуватила цей підрозділ у веденні з 2006 року масштабного кібер шпіонажу, насамперед проти компаній і організацій англомовних країн^[1][2]. Китайський уряд офіційно заперечує свою причетність до цієї акції ^[3].

У 2013 році чисельність підрозділу оцінювалася в 2000 осіб^[4].

Підозри в кібершпигунстві протягом 2002-2012 років

Експерти в області комп'ютерної безпеки висловлювали припущення, що дві великі групи кібершпигунів, отримали в англомовних джерелах назви Comment Crew і Elderwood Group, які брали участь в операції «Аврора» (масова кібератака на ряд американських компаній у червні-грудні 2009 року), мають китайське походження^[5][6].

Зокрема, щодо групи Comment Crew висловлювалися припущення, що вона базується в Шанхаї і пов'язана з НВАК:

• Американська компанія з кібербезпеки "Fireye", відносить до діяльності цієї групи більше тисячі кібератак, зроблених у період з 2002 по 2012 роки;
• Ця група робила кібератаки проти таких компаній, як RSA Security, DuPont і British American Tobacco;
• Ця група також проявляла інтерес до провідних політиків, зокрема, перехопила близько 14 хвилин переговорів електронною поштою голови Європейської Комісії в липні 2012 року, в ході переговорів щодо врегулювання економічної кризи в Греції;
• Ця група також отримала назви «Шанхайська група» (англ. Shanghai Group) і Byzantine Candor (остання назва згадується в американському дипломатичному листуванні, опублікованому WikiLeaks у 2008 році).

Звинувачення в кібершпіонажі 2013 року

Звіт компанії Mandiant 2013 року про групу APT1

Mandiant — американське приватне охоронне підприємство, засноване в 2004 році Кевіном Мандиа, який раніше працював фахівцем з комп'ютерної безпеки у ВПС США^[7]. Компанія Mandiant вивчила ситуацію з вразливістю комп'ютерних мереж в сотнях організацій по всьому світу^[8], і в 2006 році виявила групу хакерів, яку визначила APT1, а також більше двох десятків аналогічних груп, які вели кібератаки з Китаю). За оцінками представників Mandiant 2013 року, група APT1 є однією з найактивніших у сфері кібершпіонажу.

18 лютого 2013 року компанія Mandiant випустила звіт про діяльність групи APT1 (також називається Comment Crew або Shanghai Group^[9]), заснований на безпосередніх спостереженнях співробітників компанії за останні 7 років, а також інформації з відкритих Інтернет-джерел. Після того, як доповідь опублікували, вона негайно піддалася хакерській атаці і була заражена комп'ютерним вірусом^[10].

Кібершпіонаж Shanghai Group

За даними компанії Mandiant, група кібершпигунів APT1 («Shanghai Group»), з 2006 року систематично викрадала великі обсяги даних щонайменше 141 організації, проникаючи одночасно в комп'ютерні мережі кількох десятків компаній. Викрадена інформація охоплює широкий спектр конфіденційних даних, що стосуються стратегій (внутрішні службові записки, порядку, протоколи), продуктів компаній (технології, дизайн, результати випробувань), промислових процесів (стандарти і т. д.), бізнес-інформації (бізнес-плани, переговори по контрактах, прайс-листи, придбання або партнерство), зміст листування електронною поштою і паролі доступу до мереж^[11]. Shanghai Group вдавалося зберігати незаконний доступ до комп'ютерних мереж компаній майже рік (356 днів). В одному випадку хакерам вдалося зберігати доступ до внутрішньої мережі компанії 1764 днів (майже 5 років)^[12].

Відповідно до представленого звіту, Shanghai Group вела шпигунство в основному проти організацій англомовних країн: 87% з 141 компаній-жертв мають штаб-квартири в країнах, де англійська мова є основною (США, Канада і Велика Британія^[13]), і тільки одна компанія є французькою. Діяльність Shanghai Group велася в глобальному масштабі, з використанням приблизно тисячі серверів, розміщених на окремих IP-адресах в 13 країнах. З цих 849 унікальних IP-адресів 709 були зареєстровані в Китаї, і 109 — у США. Крім того, в 97 % всіх випадків була виявлена приналежність хакерів до IP-адресів, локалізованих в районі Шанхаю^[14]. Компанія Mandiant визначила 2551 доменне ім'я, приписуване Shanghai Group. Список цих імен був опублікований.

Ідентичність Shanghai Group і підрозділу 61398

За оцінками експертів компанії Mandiant, з високою ймовірністю можна вважати, що хакерська група APT1, або Shanghai Group, є нічим іншим, як підрозділом 61398 НВАК^[15]. На користь цього свідчать такі факти:

• масштаб операцій кібершпіонажу, які вела ця група протягом тривалого часу, потребує такого обсягу фінансових, людських і матеріальних ресурсів, який здатна забезпечити лише держава;
• технічні і мовні навички, необхідні для кібершпіонажу, які вела Shanghai Group, ідентичні відповідним компетенціями підрозділу 61398 (шпигунство проти США і Канади);
• тактика, методи і процедури кібершпіонажу носили чисто розвідувальний характер, не виявлено випадків знищення даних або здійснення фінансових махінацій, що характерно для звичайних дій хакерів або організованої злочинності;
• аналіз 20 галузей економіки, до яких належить 141 організація-жертва кібершпіонажу, показує чітку кореляцію зі стратегічними цілями Дванадцятої п'ятирічки Китаю (2011-2015);
• використовувані Shanghai Group протягом більше 7 років IP-адреси, розташування серверів, характеристики використовуваних операційних систем вказують на місце розташування групи в районі Шанхаю.

Реакція китайської влади

Китайський уряд негайно відкинув звинувачення в кібершпигунстві. Відразу ж, в день виходу в світ звіту компанії Mandiant (18 лютого 2013 року), МЗС Китаю виступив з заявою, в якій охарактеризувала висловлені у звіті звинувачення як «безвідповідальні і непрофесійні» і також відзначило, що «Китай рішуче виступає проти піратства, встановивши відповідні закони і правила, і приймає суворі заходи для захисту від діяльності хакерів»^[16].

Слідом за реакцією МЗС, 20 лютого 2013, міністерство оборони Китаю заявило, що звинувачення з боку компанії Mandiant є «бездоказовими фактами^[17]».

При цьому китайський уряд не заперечує існування підрозділу 61398, оскільки фотографії і відео будівлі, де воно розташоване, були розміщені в багатьох ЗМІ^[18].

Див. також

• Військово-кібернетичні операції КНР

Примітки

1. John Avlon et Sam Schlinkert, This is How China Hacks America: Inside the Mandiant Report, The Daily Beast, 19 février 2013 à lire en ligne [Архівовано 27 грудня 2016 у Wayback Machine.]
2. Anne Flaherty, A look at Mandiant, allegations on China hacking, the Associated Press, 20 février 2012 à lire en ligne
3. China’s Army Is Seen as Tied to Hacking Against U.S. - The New York Times. Архів оригіналу за 12 березня 2018. Процитовано 25 квітня 2018.
4. Rapport Mandiant APT1 (PDF). 2013. с. 11. Архів оригіналу (PDF) за 19 лютого 2013. Процитовано 25 квітня 2018. La société a estimée le nombre de collaborateurs sur la base de la taille et de l’espace de l’immeuble occupé par cette unité
5. Hackers Linked to China’s Army Seen From EU to D.C (англ.). Bloomberg.com. 27 juillet 2012. Процитовано 2 mars 2013.
6. Stealing US business secrets: Experts ID two huge cyber 'gangs' in China. 14 septembre 2012. Архів оригіналу за 15 листопада 2019. Процитовано 25 квітня 2018.
7. Mandiant Corp Goes Viral After China Hacking Report. 23 février 2013. Архів оригіналу за 3 березня 2016. Процитовано 25 квітня 2018.
8. Rapport Mandiant APT1 (PDF). 2013. с. 2. Архів оригіналу (PDF) за 19 лютого 2013. Процитовано 25 квітня 2018.
9. Chinese Army Unit Is Seen as Tied to Hacking Against U.S. 18 février 2013. Архів оригіналу за 28 травня 2018. Процитовано 25 квітня 2018.
10. Brian Price, Fake Mandiant Chinese Hacking Report Used in Attack Campaign, Security Week, 21 février 2013 à lire en ligne [Архівовано 1 липня 2018 у Wayback Machine.]
11. Rapport Mandiant APT1 (PDF). 2013. с. 25. Архів оригіналу (PDF) за 19 лютого 2013. Процитовано 25 квітня 2018.
12. Rapport Mandiant APT1 (PDF). 2013. с. 21. Архів оригіналу (PDF) за 19 лютого 2013. Процитовано 25 квітня 2018.
13. L’Unité 61398, nid de cyber-espions chinois ?. 19 février 2013. Архів оригіналу за 12 травня 2018. Процитовано 25 квітня 2018.
14. Rapport Mandiant APT1 (PDF). 2013. с. 4. Архів оригіналу (PDF) за 19 лютого 2013. Процитовано 25 квітня 2018.
15. Rapport Mandiant APT1 (PDF). 2013. с. 59 et 60. Архів оригіналу (PDF) за 19 лютого 2013. Процитовано 25 квітня 2018.
16. Chinese Army Unit Is Seen as Tied to Hacking Against U.S. 18 février 2013. Архів оригіналу за 12 березня 2018. Процитовано 25 квітня 2018.
17. China Says Army Is Not Behind Attacks in Report. 20 février 2013. Архів оригіналу за 12 березня 2018. Процитовано 25 квітня 2018.
18. Reuters - Unity 61398. 19 février 2013. Архів оригіналу за 6 жовтня 2014. Процитовано 25 квітня 2018.

Посилання

• APT1 — Exposing One of china's Cyber Espionage Units [Архівовано 19 лютого 2013 у Wayback Machine.] (англ.)