Подразделение 61398 (НОАК)

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
Подразделение 61398
61398 部队
Flag of the People's Liberation Army.svg
Годы существования ок.2004 -настоящее время
Страна Флаг Китайской Народной Республики
Подчинение Министерство обороны КНР
Входит в 3-е управление Генерального штаба НОАК
Тип Кибервойска
Функция радиоэлектронная разведка, кибершпионаж, кибервойна
Численность 2000 человек
Дислокация Шанхай

Подразделение 61398 (кит. 61398 部队) — подразделение Народно-освободительной армии Китая, базирующееся в Шанхае, отвечает за проведение военных операций в области компьютерных сетей.

В докладе, опубликованном 18 февраля 2013 года, компания Mandiant, оказывающая услуги в сфере компьютерной безопасности, обвинила это подразделение в ведении с 2006 года масштабного кибершпионажа, прежде всего против компаний и организаций англоязычных стран[1][2]. Китайское правительство официально отрицает свою причастность к этим кибератакам[3].

История[править | править код]

Подразделение 61398 (известное также как «2-е бюро»), подчинено 3-му управлению Генштаба НОАК, которое считается аналогом американского Агентства национальной безопасности (АНБ)[4].

Согласно опубликованным данным, подразделение 61398 отвечает за ведение разведки против США и Канады[5], в то время как подразделение 61046 (также известное как «8-е бюро») специализируется на разведке против стран Европы[6].

Точная дата создания подразделения 61398 неизвестна, однако известно, что оно в 2004 году вело вербовку выпускников Чжэцзянского университета — специалистов по информационным технологиям[7][8].

В начале 2007 года в шанхайском районе Пудун началось строительство здания для размещения подразделения 61398[9]. В 2009 году при поддержке государственного оператора China Telecom в здании была проложена оптоволоконная сеть[10]. Здание расположено по адресу Датун-роуд, 208, имеет 12 этажей площадью 12138 кв.м.[11].

В 2013 году численность подразделения оценивалась в 2000 человек[12].

Подозрения в кибершпионаже в период 2002—2012 годов[править | править код]

Эксперты в области компьютерной безопасности высказывали предположение, что две крупные группы кибершпионов, получившие в англоязычных источниках названия Comment Crew и Elderwood Group, которые принимали участие в операции «Аврора»[en] (массированная кибератака на ряд американских компаний в июне-декабре 2009 года), имеют китайское происхождение[13][14].

В частности, в отношении группы Comment Crew высказывались предположения, что она базируется в Шанхае и связана с НОАК[13]:

  • Американская компания по кибербезопасности Fireye относит к деятельности этой группы более тысячи кибератак, предпринятых в период с 2002 по 2012 годы;
  • Эта группа предпринимала кибератаки против таких компаний, как RSA Security, DuPont и British American Tobacco;
  • Эта группа также проявляла интерес к ведущим политикам, в частности, перехватила около 14 минут переговоров по электронной почте председателя Европейской Комиссии в июле 2012 года, в ходе переговоров по урегулированию экономического кризиса в Греции;
  • Эта группа также получила названия «Шанхайская группа» (англ. Shanghai Group) и Byzantine Candor (последнее название упоминается в американской дипломатической переписке, опубликованной WikiLeaks в 2008 году).

Обвинения в кибершпионаже 2013 года[править | править код]

Отчёт компании Mandiant 2013 года о группе APT1[править | править код]

Mandiant — американское частное охранное предприятие, основанное в 2004 году Кевином Мандиа, ранее работавшего экспертом по компьютерной безопасности в ВВС США[15]. Компания Mandiant изучила ситуацию с уязвимостью компьютерных сетей в сотнях организаций по всему миру[16], и в 2006 году выявила группу хакеров, которую обозначила APT1, а также более двух десятков аналогичных групп, которые вели кибератаки из Китая[16]). По оценкам представителей Mandiant 2013 года, группа APT1 является одной из самых активных в сфере кибершпионажа[16].

18 февраля 2013 года компания Mandiant выпустила отчёт о деятельности группы APT1[16] (также именуемой Comment Crew или Shanghai Group[17]), основанный на непосредственных наблюдениях сотрудников компании за последние 7 лет, а также информации из открытых Интернет-источников[16]. После того как доклад был опубликован, он незамедлительно подвергся хакерской атаке и был заражён компьютерным вирусом[18].

Кибершпионаж Shanghai Group[править | править код]

По данным компании Mandiant, группа кибершпионов APT1 («Shanghai Group») с 2006 года систематически похищала большие объёмы данных по меньшей мере в 141 организации, проникая одновременно в компьютерные сети нескольких десятков компаний. Похищенная информация охватывает широкий спектр конфиденциальных данных, касающихся стратегий (внутренние служебные записки, повестки, протоколы), продуктов компаний (технологии, дизайн, результаты испытаний), промышленных процессов (стандарты и т. д.), бизнес-информации (бизнес-планы, переговоры по контрактам, прайс-листы, приобретения или партнерство), содержание переписки по электронной почте, и пароли доступа к сетям[19]. Shanghai Group удавалось сохранять незаконный доступ к компьютерным сетям компаний в среднем в течение года (356 дней). В одном случае хакерам удалось сохранять свой доступ к внутренней сети компании 1764 дней (почти 5 лет)[20].

Согласно представленному отчёту, Shanghai Group вела шпионаж в основном против организаций англоязычных стран: 87 % из 141 компаний-жертв имеют штаб-квартиры в странах, где английский язык является основным (США, Канада и Великобритания[21]), и только одна компания является французской. Деятельность Shanghai Group велась в глобальном масштабе, с использованием приблизительно тысячи серверов, размещённых на отдельных IP-адресах в 13 странах. Из этих 849 уникальных IP-адресов 709 были зарегистрированы в Китае, и 109 — в США. Кроме того, в 97 % всех случаев была выявлена принадлежность хакеров к IP-адресам, локализованным в районе Шанхая[22]. Компания Mandiant определила 2551 доменное имя, приписываемое Shanghai Group[22]. Список этих доменных имён был опубликован.

Идентичность Shanghai Group и подразделения 61398[править | править код]

По оценкам экспертов компании Mandiant, с высокой степенью вероятности можно считать, что хакерская группа APT1, или Shanghai Group, является ничем иным, как подразделением 61398 НОАК[23]. В пользу этого говорят следующие факторы:

  • масштаб операций кибершпионажа, которые вела эта группа на протяжении длительного времени, требует такого объёма финансовых, людских и материальных ресурсов, который способно обеспечить только государство;
  • технические и языковые навыки, необходимые для выполнения функций кибершпионажа, которые вела Shanghai Group, идентичны соответствующим компетенциям подразделения 61398 (шпионаж против США и Канады);
  • тактика, методы и процедуры акций кибершпионажа носили чисто разведывательный характер, не выявлено случаев уничтожения данных или осуществления финансовых махинаций, что характерно для действий обычных хакеров или организованной преступности;
  • анализ 20 отраслей экономики, к которым принадлежит 141 организация-жертва кибершпионажа, показывает чёткую корреляцию со стратегическими целями Двенадцатой пятилетки Китая (2011—2015);
  • используемые Shanghai Group на протяжении более 7 лет IP-адреса, расположение серверов, характеристики используемых операционных систем указывают на местоположение группы в районе Шанхая.

Реакция китайских властей[править | править код]

Китайское правительство незамедлительно отвергло обвинения в кибершпионаже. Сразу же, в день выхода в свет отчёта компании Mandiant (18 февраля 2013 года), МИД Китая выступило с заявлением, в котором охарактеризовало высказанные в отчёте обвинения как «безответственные и непрофессиональные» и также отметило, что «Китай решительно выступает против пиратства, установив соответствующие законы и правила и принимает строгие меры для защиты от деятельности хакеров»[24].

Вслед за реакцией МИД, 20 февраля 2013, министерство обороны Китая заявило, что обвинения со стороны компании Mandiant являются «бездоказательными фактами[25]».

При этом китайское правительство не отрицает существование подразделения 61398, поскольку фотографии и видео здания, где оно располагается, были размещены во многих СМИ[26].

См. также[править | править код]

Примечания[править | править код]

  1. John Avlon et Sam Schlinkert, This is How China Hacks America: Inside the Mandiant Report, The Daily Beast, 19 février 2013 à lire en ligne
  2. Anne Flaherty, A look at Mandiant, allegations on China hacking, the Associated Press, 20 février 2012 à lire en ligne
  3. China’s Army Is Seen as Tied to Hacking Against U.S. - The New York Times
  4. Rapport Mandiant APT1 (2013).
  5. The Chinese People’s Liberation Army Signals Intelligence and Cyber Reconnaissance Infrastructure (недоступная ссылка) (11 novembre 2011). Дата обращения 1 октября 2014. Архивировано 21 октября 2012 года.
  6. The Chinese People’s Liberation Army Signals Intelligence and Cyber Reconnaissance Infrastructure (недоступная ссылка) (11 novembre 2011). Дата обращения 1 октября 2014. Архивировано 21 октября 2012 года.
  7. PLA Unit 61398 Recruitment Notice Found (20 février 2013).
  8. Internet Sleuths Add Evidence to Chinese Military Hacking Accusations (27 février 2013).
  9. Rapport Mandiant APT1 (2013).
  10. Rapport Mandiant APT1 (2013). Un document interne de China Telecom de 2009, publié dans le rapport, fait référence à l’Unité 61398 du 3e département de l'état-major général et à la construction d’un réseau pour la Défense nationale
  11. L’Unité 61398, nid de cyber-espions chinois ?.
  12. Rapport Mandiant APT1 (2013). La société a estimée le nombre de collaborateurs sur la base de la taille et de l’espace de l’immeuble occupé par cette unité
  13. 1 2 Hackers Linked to China’s Army Seen From EU to D.C (27 juillet 2012).
  14. Stealing US business secrets: Experts ID two huge cyber 'gangs' in China (14 septembre 2012).
  15. Mandiant Corp Goes Viral After China Hacking Report (23 février 2013).
  16. 1 2 3 4 5 Rapport Mandiant APT1 (2013).
  17. Chinese Army Unit Is Seen as Tied to Hacking Against U.S. (18 février 2013).
  18. Brian Price, Fake Mandiant Chinese Hacking Report Used in Attack Campaign, Security Week, 21 février 2013 à lire en ligne
  19. Rapport Mandiant APT1 (2013).
  20. Rapport Mandiant APT1 (2013).
  21. L’Unité 61398, nid de cyber-espions chinois ? (19 février 2013).
  22. 1 2 Rapport Mandiant APT1 (2013).
  23. Rapport Mandiant APT1 (2013).
  24. Chinese Army Unit Is Seen as Tied to Hacking Against U.S. (18 février 2013).
  25. China Says Army Is Not Behind Attacks in Report (20 février 2013).
  26. Reuters - Unity 61398 (19 février 2013).

Ссылки[править | править код]