Русская Википедия:Подразделение 61398 (НОАК)
Шаблон:Воинское формирование Подразделение 61398 (Шаблон:Lang-zh) — подразделение Народно-освободительной армии Китая, базирующееся в Шанхае, отвечает за проведение военных операций в области компьютерных сетей.
В докладе, опубликованном 18 февраля 2013 года, компания Mandiant, оказывающая услуги в сфере компьютерной безопасности, обвинила это подразделение в ведении с 2006 года масштабного кибершпионажа, прежде всего против компаний и организаций англоязычных стран[1][2]. Китайское правительство официально отрицает свою причастность к этим кибератакам[3].
История
Подразделение 61398 (известное также как «2-е бюро»), подчинено 3-му управлению Генштаба НОАК, которое считается аналогом американского Агентства национальной безопасности (АНБ)[4].
Согласно опубликованным данным, подразделение 61398 отвечает за ведение разведки против США и Канады[5], в то время как подразделение 61046 (также известное как «8-е бюро») специализируется на разведке против стран Европы[6].
Точная дата создания подразделения 61398 неизвестна, однако известно, что оно в 2004 году вело вербовку выпускников Чжэцзянского университета — специалистов по информационным технологиям[7][8].
В начале 2007 года в шанхайском районе Пудун началось строительство здания для размещения подразделения 61398[9]. В 2009 году при поддержке государственного оператора China Telecom в здании была проложена оптоволоконная сеть[10]. Здание расположено по адресу Датун-роуд, 208, имеет 12 этажей площадью 12138 кв.м.[11].
В 2013 году численность подразделения оценивалась в 2000 человек[12].
Подозрения в кибершпионаже в период 2002—2012 годов
Эксперты в области компьютерной безопасности высказывали предположение, что две крупные группы кибершпионов, получившие в англоязычных источниках названия Comment Crew и Elderwood Group, которые принимали участие в операции «Аврора» (массированная кибератака на ряд американских компаний в июне-декабре 2009 года), имеют китайское происхождение[13][14].
В частности, в отношении группы Comment Crew высказывались предположения, что она базируется в Шанхае и связана с НОАК[13]:
- Американская компания по кибербезопасности Fireye относит к деятельности этой группы более тысячи кибератак, предпринятых в период с 2002 по 2012 годы;
- Эта группа предпринимала кибератаки против таких компаний, как RSA Security, DuPont и British American Tobacco;
- Эта группа также проявляла интерес к ведущим политикам, в частности, перехватила около 14 минут переговоров по электронной почте председателя Европейской Комиссии в июле 2012 года, в ходе переговоров по урегулированию экономического кризиса в Греции;
- Эта группа также получила названия «Шанхайская группа» (Шаблон:Lang-en) и Byzantine Candor (последнее название упоминается в американской дипломатической переписке, опубликованной WikiLeaks в 2008 году).
Обвинения в кибершпионаже 2013 года
Отчёт компании Mandiant 2013 года о группе APT1
Mandiant — американское частное охранное предприятие, основанное в 2004 году Кевином Мандиа, ранее работавшего экспертом по компьютерной безопасности в ВВС США[15]. Компания Mandiant изучила ситуацию с уязвимостью компьютерных сетей в сотнях организаций по всему миру[16], и в 2006 году выявила группу хакеров, которую обозначила APT1, а также более двух десятков аналогичных групп, которые вели кибератаки из Китая[16]). По оценкам представителей Mandiant 2013 года, группа APT1 является одной из самых активных в сфере кибершпионажа[16].
18 февраля 2013 года компания Mandiant выпустила отчёт о деятельности группы APT1[16] (также именуемой Comment Crew или Shanghai Group[17]), основанный на непосредственных наблюдениях сотрудников компании за последние 7 лет, а также информации из открытых Интернет-источников[16]. После того как доклад был опубликован, он незамедлительно подвергся хакерской атаке и был заражён компьютерным вирусом[18].
Кибершпионаж Shanghai Group
По данным компании Mandiant, группа кибершпионов APT1 («Shanghai Group») с 2006 года систематически похищала большие объёмы данных по меньшей мере в 141 организации, проникая одновременно в компьютерные сети нескольких десятков компаний. Похищенная информация охватывает широкий спектр конфиденциальных данных, касающихся стратегий (внутренние служебные записки, повестки, протоколы), продуктов компаний (технологии, дизайн, результаты испытаний), промышленных процессов (стандарты и т. д.), бизнес-информации (бизнес-планы, переговоры по контрактам, прайс-листы, приобретения или партнерство), содержание переписки по электронной почте, и пароли доступа к сетям[19]. Shanghai Group удавалось сохранять незаконный доступ к компьютерным сетям компаний в среднем в течение года (356 дней). В одном случае хакерам удалось сохранять свой доступ к внутренней сети компании 1764 дней (почти 5 лет)[20].
Согласно представленному отчёту, Shanghai Group вела шпионаж в основном против организаций англоязычных стран: 87 % из 141 компаний-жертв имеют штаб-квартиры в странах, где английский язык является основным (США, Канада и Великобритания[21]), и только одна компания является французской. Деятельность Shanghai Group велась в глобальном масштабе, с использованием приблизительно тысячи серверов, размещённых на отдельных IP-адресах в 13 странах. Из этих 849 уникальных IP-адресов 709 были зарегистрированы в Китае, и 109 — в США. Кроме того, в 97 % всех случаев была выявлена принадлежность хакеров к IP-адресам, локализованным в районе Шанхая[22]. Компания Mandiant определила 2551 доменное имя, приписываемое Shanghai Group[22]. Список этих доменных имён был опубликован.
Идентичность Shanghai Group и подразделения 61398
По оценкам экспертов компании Mandiant, с высокой степенью вероятности можно считать, что хакерская группа APT1, или Shanghai Group, является ничем иным, как подразделением 61398 НОАК[23]. В пользу этого говорят следующие факторы:
- масштаб операций кибершпионажа, которые вела эта группа на протяжении длительного времени, требует такого объёма финансовых, людских и материальных ресурсов, который способно обеспечить только государство;
- технические и языковые навыки, необходимые для выполнения функций кибершпионажа, которые вела Shanghai Group, идентичны соответствующим компетенциям подразделения 61398 (шпионаж против США и Канады);
- тактика, методы и процедуры акций кибершпионажа носили чисто разведывательный характер, не выявлено случаев уничтожения данных или осуществления финансовых махинаций, что характерно для действий обычных хакеров или организованной преступности;
- анализ 20 отраслей экономики, к которым принадлежит 141 организация-жертва кибершпионажа, показывает чёткую корреляцию со стратегическими целями Двенадцатой пятилетки Китая (2011—2015);
- используемые Shanghai Group на протяжении более 7 лет IP-адреса, расположение серверов, характеристики используемых операционных систем указывают на местоположение группы в районе Шанхая.
Реакция китайских властей
Китайское правительство незамедлительно отвергло обвинения в кибершпионаже. Сразу же, в день выхода в свет отчёта компании Mandiant (18 февраля 2013 года), МИД Китая выступило с заявлением, в котором охарактеризовало высказанные в отчёте обвинения как «безответственные и непрофессиональные» и также отметило, что «Китай решительно выступает против пиратства, установив соответствующие законы и правила и принимает строгие меры для защиты от деятельности хакеров»[24].
Вслед за реакцией МИД, 20 февраля 2013, министерство обороны Китая заявило, что обвинения со стороны компании Mandiant являются «бездоказательными фактами[25]».
При этом китайское правительство не отрицает существование подразделения 61398, поскольку фотографии и видео здания, где оно располагается, были размещены во многих СМИ[26].
См. также
Примечания
Ссылки
Шаблон:Хакерские атаки 2000-х Шаблон:Хакерские атаки 2010-х
- ↑ John Avlon et Sam Schlinkert, This is How China Hacks America: Inside the Mandiant Report, The Daily Beast, 19 février 2013 à lire en ligne Шаблон:Wayback
- ↑ Anne Flaherty, A look at Mandiant, allegations on China hacking, the Associated Press, 20 février 2012 à lire en ligne
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web Un document interne de China Telecom de 2009, publié dans le rapport, fait référence à l’Unité 61398 du 3e département de l'état-major général et à la construction d’un réseau pour la Défense nationale
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web La société a estimée le nombre de collaborateurs sur la base de la taille et de l’espace de l’immeuble occupé par cette unité
- ↑ 13,0 13,1 Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ 16,0 16,1 16,2 16,3 16,4 Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Brian Price, Fake Mandiant Chinese Hacking Report Used in Attack Campaign, Security Week, 21 février 2013 à lire en ligne Шаблон:Wayback
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ 22,0 22,1 Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web
- ↑ Шаблон:Cite web