Подразделение 61398 (НОАК)

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
Подразделение 61398
кит. 61398 部队
Годы существования ок. 2004 — настоящее время
Страна Флаг Китайской Народной Республики
Подчинение Министерство обороны КНР
Входит в 3-е управление Генерального штаба НОАК
Тип Кибервойска
Функция радиоэлектронная разведка, кибершпионаж, кибервойна
Численность 2000 человек
Дислокация Шанхай

Подразделение 61398 (кит. 61398 部队) — подразделение Народно-освободительной армии Китая, базирующееся в Шанхае, отвечает за проведение военных операций в области компьютерных сетей.

В докладе, опубликованном 18 февраля 2013 года, компания Mandiant, оказывающая услуги в сфере компьютерной безопасности, обвинила это подразделение в ведении с 2006 года масштабного кибершпионажа, прежде всего против компаний и организаций англоязычных стран[1][2]. Китайское правительство официально отрицает свою причастность к этим кибератакам[3].

Подразделение 61398 (известное также как «2-е бюро»), подчинено 3-му управлению Генштаба НОАК, которое считается аналогом американского Агентства национальной безопасности (АНБ)[4].

Согласно опубликованным данным, подразделение 61398 отвечает за ведение разведки против США и Канады[5], в то время как подразделение 61046 (также известное как «8-е бюро») специализируется на разведке против стран Европы[6].

Точная дата создания подразделения 61398 неизвестна, однако известно, что оно в 2004 году вело вербовку выпускников Чжэцзянского университета — специалистов по информационным технологиям[7][8].

В начале 2007 года в шанхайском районе Пудун началось строительство здания для размещения подразделения 61398[9]. В 2009 году при поддержке государственного оператора China Telecom в здании была проложена оптоволоконная сеть[10]. Здание расположено по адресу Датун-роуд, 208, имеет 12 этажей площадью 12138 кв.м.[11].

В 2013 году численность подразделения оценивалась в 2000 человек[12].

Подозрения в кибершпионаже в период 2002—2012 годов

[править | править код]

Эксперты в области компьютерной безопасности высказывали предположение, что две крупные группы кибершпионов, получившие в англоязычных источниках названия Comment Crew и Elderwood Group, которые принимали участие в операции «Аврора» (массированная кибератака на ряд американских компаний в июне-декабре 2009 года), имеют китайское происхождение[13][14].

В частности, в отношении группы Comment Crew высказывались предположения, что она базируется в Шанхае и связана с НОАК[13]:

  • Американская компания по кибербезопасности Fireye относит к деятельности этой группы более тысячи кибератак, предпринятых в период с 2002 по 2012 годы;
  • Эта группа предпринимала кибератаки против таких компаний, как RSA Security, DuPont и British American Tobacco;
  • Эта группа также проявляла интерес к ведущим политикам, в частности, перехватила около 14 минут переговоров по электронной почте председателя Европейской Комиссии в июле 2012 года, в ходе переговоров по урегулированию экономического кризиса в Греции;
  • Эта группа также получила названия «Шанхайская группа» (англ. Shanghai Group) и Byzantine Candor (последнее название упоминается в американской дипломатической переписке, опубликованной WikiLeaks в 2008 году).

Обвинения в кибершпионаже 2013 года

[править | править код]

Отчёт компании Mandiant 2013 года о группе APT1

[править | править код]

Mandiant — американское частное охранное предприятие, основанное в 2004 году Кевином Мандиа, ранее работавшего экспертом по компьютерной безопасности в ВВС США[15]. Компания Mandiant изучила ситуацию с уязвимостью компьютерных сетей в сотнях организаций по всему миру[16], и в 2006 году выявила группу хакеров, которую обозначила APT1, а также более двух десятков аналогичных групп, которые вели кибератаки из Китая[16]). По оценкам представителей Mandiant 2013 года, группа APT1 является одной из самых активных в сфере кибершпионажа[16].

18 февраля 2013 года компания Mandiant выпустила отчёт о деятельности группы APT1[16] (также именуемой Comment Crew или Shanghai Group[17]), основанный на непосредственных наблюдениях сотрудников компании за последние 7 лет, а также информации из открытых Интернет-источников[16]. После того как доклад был опубликован, он незамедлительно подвергся хакерской атаке и был заражён компьютерным вирусом[18].

Кибершпионаж Shanghai Group

[править | править код]

По данным компании Mandiant, группа кибершпионов APT1 («Shanghai Group») с 2006 года систематически похищала большие объёмы данных по меньшей мере в 141 организации, проникая одновременно в компьютерные сети нескольких десятков компаний. Похищенная информация охватывает широкий спектр конфиденциальных данных, касающихся стратегий (внутренние служебные записки, повестки, протоколы), продуктов компаний (технологии, дизайн, результаты испытаний), промышленных процессов (стандарты и т. д.), бизнес-информации (бизнес-планы, переговоры по контрактам, прайс-листы, приобретения или партнерство), содержание переписки по электронной почте, и пароли доступа к сетям[19]. Shanghai Group удавалось сохранять незаконный доступ к компьютерным сетям компаний в среднем в течение года (356 дней). В одном случае хакерам удалось сохранять свой доступ к внутренней сети компании 1764 дней (почти 5 лет)[20].

Согласно представленному отчёту, Shanghai Group вела шпионаж в основном против организаций англоязычных стран: 87 % из 141 компаний-жертв имеют штаб-квартиры в странах, где английский язык является основным (США, Канада и Великобритания[21]), и только одна компания является французской. Деятельность Shanghai Group велась в глобальном масштабе, с использованием приблизительно тысячи серверов, размещённых на отдельных IP-адресах в 13 странах. Из этих 849 уникальных IP-адресов 709 были зарегистрированы в Китае, и 109 — в США. Кроме того, в 97 % всех случаев была выявлена принадлежность хакеров к IP-адресам, локализованным в районе Шанхая[22]. Компания Mandiant определила 2551 доменное имя, приписываемое Shanghai Group[22]. Список этих доменных имён был опубликован.

Идентичность Shanghai Group и подразделения 61398

[править | править код]

По оценкам экспертов компании Mandiant, с высокой степенью вероятности можно считать, что хакерская группа APT1, или Shanghai Group, является ничем иным, как подразделением 61398 НОАК[23]. В пользу этого говорят следующие факторы:

  • масштаб операций кибершпионажа, которые вела эта группа на протяжении длительного времени, требует такого объёма финансовых, людских и материальных ресурсов, который способно обеспечить только государство;
  • технические и языковые навыки, необходимые для выполнения функций кибершпионажа, которые вела Shanghai Group, идентичны соответствующим компетенциям подразделения 61398 (шпионаж против США и Канады);
  • тактика, методы и процедуры акций кибершпионажа носили чисто разведывательный характер, не выявлено случаев уничтожения данных или осуществления финансовых махинаций, что характерно для действий обычных хакеров или организованной преступности;
  • анализ 20 отраслей экономики, к которым принадлежит 141 организация-жертва кибершпионажа, показывает чёткую корреляцию со стратегическими целями Двенадцатой пятилетки Китая (2011—2015);
  • используемые Shanghai Group на протяжении более 7 лет IP-адреса, расположение серверов, характеристики используемых операционных систем указывают на местоположение группы в районе Шанхая.

Реакция китайских властей

[править | править код]

Китайское правительство незамедлительно отвергло обвинения в кибершпионаже. Сразу же, в день выхода в свет отчёта компании Mandiant (18 февраля 2013 года), МИД Китая выступило с заявлением, в котором охарактеризовало высказанные в отчёте обвинения как «безответственные и непрофессиональные» и также отметило, что «Китай решительно выступает против пиратства, установив соответствующие законы и правила и принимает строгие меры для защиты от деятельности хакеров»[24].

Вслед за реакцией МИД, 20 февраля 2013, министерство обороны Китая заявило, что обвинения со стороны компании Mandiant являются «бездоказательными фактами[25]».

При этом китайское правительство не отрицает существование подразделения 61398, поскольку фотографии и видео здания, где оно располагается, были размещены во многих СМИ[26].

Примечания

[править | править код]
  1. John Avlon et Sam Schlinkert, This is How China Hacks America: Inside the Mandiant Report, The Daily Beast, 19 février 2013 à lire en ligne Архивная копия от 27 декабря 2016 на Wayback Machine
  2. Anne Flaherty, A look at Mandiant, allegations on China hacking, the Associated Press, 20 février 2012 à lire en ligne
  3. China’s Army Is Seen as Tied to Hacking Against U.S. — The New York Times. Дата обращения: 30 сентября 2017. Архивировано 12 марта 2018 года.
  4. Rapport Mandiant APT1 8 (2013). Дата обращения: 1 октября 2014. Архивировано 19 февраля 2013 года.
  5. The Chinese People’s Liberation Army Signals Intelligence and Cyber Reconnaissance Infrastructure 8 (11 ноября 2011). Дата обращения: 1 октября 2014. Архивировано из оригинала 21 октября 2012 года.
  6. The Chinese People’s Liberation Army Signals Intelligence and Cyber Reconnaissance Infrastructure 10 (11 ноября 2011). Дата обращения: 1 октября 2014. Архивировано из оригинала 21 октября 2012 года.
  7. PLA Unit 61398 Recruitment Notice Found 10 (20 февраля 2013). Дата обращения: 1 октября 2014. Архивировано 20 ноября 2014 года.
  8. Internet Sleuths Add Evidence to Chinese Military Hacking Accusations (27 февраля 2013). Дата обращения: 1 октября 2014. Архивировано 6 октября 2014 года.
  9. Rapport Mandiant APT1 3 (2013). Дата обращения: 1 октября 2014. Архивировано 19 февраля 2013 года.
  10. Rapport Mandiant APT1 19 (2013). Дата обращения: 1 октября 2014. Архивировано 19 февраля 2013 года. Un document interne de China Telecom de 2009, publié dans le rapport, fait référence à l’Unité 61398 du 3e département de l'état-major général et à la construction d’un réseau pour la Défense nationale
  11. L’Unité 61398, nid de cyber-espions chinois ? Дата обращения: 1 октября 2014. Архивировано 12 мая 2018 года.
  12. Rapport Mandiant APT1 11 (2013). Дата обращения: 1 октября 2014. Архивировано 19 февраля 2013 года. La société a estimée le nombre de collaborateurs sur la base de la taille et de l’espace de l’immeuble occupé par cette unité
  13. 1 2 Hackers Linked to China’s Army Seen From EU to D.C (27 июля 2012). Дата обращения: 30 сентября 2017. Архивировано 11 января 2015 года.
  14. Stealing US business secrets: Experts ID two huge cyber 'gangs' in China (14 сентября 2012). Дата обращения: 1 октября 2014. Архивировано 15 ноября 2019 года.
  15. Mandiant Corp Goes Viral After China Hacking Report (23 февраля 2013). Дата обращения: 1 октября 2014. Архивировано 3 марта 2016 года.
  16. 1 2 3 4 5 Rapport Mandiant APT1 2 (2013). Дата обращения: 1 октября 2014. Архивировано 19 февраля 2013 года.
  17. Chinese Army Unit Is Seen as Tied to Hacking Against U.S. (18 февраля 2013). Дата обращения: 30 сентября 2017. Архивировано 28 мая 2018 года.
  18. Brian Price, Fake Mandiant Chinese Hacking Report Used in Attack Campaign, Security Week, 21 février 2013 à lire en ligne Архивная копия от 1 июля 2018 на Wayback Machine
  19. Rapport Mandiant APT1 25 (2013). Дата обращения: 1 октября 2014. Архивировано 19 февраля 2013 года.
  20. Rapport Mandiant APT1 21 (2013). Дата обращения: 1 октября 2014. Архивировано 19 февраля 2013 года.
  21. L’Unité 61398, nid de cyber-espions chinois ? (19 февраля 2013). Дата обращения: 1 октября 2014. Архивировано 12 мая 2018 года.
  22. 1 2 Rapport Mandiant APT1 4 (2013). Дата обращения: 1 октября 2014. Архивировано 19 февраля 2013 года.
  23. Rapport Mandiant APT1 59 et 60 (2013). Дата обращения: 1 октября 2014. Архивировано 19 февраля 2013 года.
  24. Chinese Army Unit Is Seen as Tied to Hacking Against U.S. (18 февраля 2013). Дата обращения: 30 сентября 2017. Архивировано 12 марта 2018 года.
  25. China Says Army Is Not Behind Attacks in Report (20 февраля 2013). Дата обращения: 30 сентября 2017. Архивировано 12 марта 2018 года.
  26. Reuters - Unity 61398 (19 февраля 2013). Дата обращения: 30 сентября 2017. Архивировано 6 октября 2014 года.