Einheit 61398

61398 部队
PLA-Flagge
Schaffung	2004 (Est.)
Land	China
Treue	Volksbefreiungsarmee
Rolle	Spionage
Wirksam	2.000 (Est.)
Ist ein Teil von	3 E  Abteilung des Generalstabs der chinesischen Armee

Die 61398-Einheit (chinesisch: 61398 部队) der Volksbefreiungsarmee mit Sitz in Shanghai ist für die Durchführung von Militäreinsätzen im Bereich Computernetzwerke verantwortlich .

In einem am 18. Februar 2013 veröffentlichten Bericht beschuldigt das Computersicherheitsunternehmen Mandiant diese Einheit der chinesischen Armee, seit 2006 am Ursprung einer umfangreichen Cyberspionage-Operation zu stehen, die hauptsächlich gegen angelsächsische Unternehmen und Organisationen gerichtet ist. Die chinesische Regierung bestritt sofort, hinter den Cyberangriffen zu stehen .

Präsentation

Die 3 E-  Abteilung des Generalstabs der chinesischen Armee , deren Zahl auf 130.000 Personen geschätzt wird, insbesondere Aktivitäten, die denen der Nationalen Sicherheitsagentur (NSA) ähneln .

Innerhalb dieser 3 rd Abteilung, Einheit 61398 (auch als 2 nd  Büro), die keine offizielle Existenz im Organigramm der chinesischen Armee hat, ist vor allem zuständig für Aufklärungsaktivitäten zu Themen Politik, Wirtschaft und Militär. Dieses Gerät würde konzentriert sich auf dem US und Kanada , während die 61.046 - Einheit (auch als 8 th  Büro) auf Europa spezialisiert.

Das genaue Entstehungsdatum dieser Einheit ist noch nicht bekannt, sie rekrutierte jedoch bereits 2004 junge Absolventen der Informatik an der Zhejiang-Universität.

Anfang 2007 wurde im Bezirk Pudong in Shanghai mit dem Bau eines dieser Einheit gewidmeten Gebäudes begonnen . Im Jahr 2009 profitierte dieses Gerät im Namen der "staatlichen Vernunft" von der Unterstützung des staatlichen Betreibers China Telecom beim Aufbau seiner Glasfasernetzarchitektur. Das Gebäude befindet sich in der Datong Road 208, erstreckt sich über zwölf Etagen und ist 12.138 m 2 groß  .

Im Jahr 2013 wird die Stärke dieser Einheit auf 2.000 Personen geschätzt.

Wiederkehrender Verdacht auf Cyberspionage 2002-2012

Seit Jahren warnen Computersicherheitsexperten Staaten und Unternehmen vor dem Anstieg versuchter Cyber-Angriffe aus China, ohne dies jedoch öffentlich zu überzeugen.

Zwei Cyber-Spionagegruppen, die Comment Crew und die Elderwood Group , von denen angenommen wird, dass sie beide an der Operation Aurora teilgenommen haben , werden dennoch regelmäßig verdächtigt, mit China verbunden zu sein.

Insbesondere die Comment Crew- Gruppe soll ihren Sitz in Shanghai haben und mit der chinesischen Armee verbunden sein:

• Das amerikanische Cyber-Sicherheitsunternehmen Fireye schreibt dieser Gruppe zwischen 2002 und 2012 mehr als tausend Cyber-Angriffe zu.
• Diese Gruppe wäre der Ursprung von Cyber-Angriffen gegen viele Unternehmen wie RSA Security , DuPont oder British American Tobacco  .
• Diese Gruppe ist auch an führenden Politikern interessiert: Sie würde den Diebstahl in weniger als 14 Minuten der E-Mail des Präsidenten der Europäischen Kommission im Juli 2012 während der Verhandlungen über die griechische Wirtschaftskrise auslösen.
• Es wird auch unter dem Namen Shanghai Group oder Byzantine Candor identifiziert (letzterer Name wird in einem von Wikileaks enthüllten amerikanischen diplomatischen Kabel von 2008 erwähnt ).

Direkte Vorwürfe der Cyberspionage im Jahr 2013

Bericht APT1 Unternehmen Mandiant im Februar 2013 veröffentlicht

Das private US-amerikanische Unternehmen für Computersicherheit Mandiant wurde 2004 von Kevin Mandia gegründet, der zuvor Ermittler für Cyberkriminalität bei der US Air Force war.

Seit seiner Gründung hat dieses Unternehmen Verstöße gegen die Computersicherheit von Hunderten von Organisationen auf der ganzen Welt untersucht. 2006 identifizierte sie ein Team von Hackern, die Cyberspionage betreiben, die sie APT1 nannte (Mandiant identifizierte insgesamt mehr als 20 ähnliche Gruppen, deren Angriffe aus China stammen). Und bis heute, im Jahr 2013, ist diese APT1- Gruppe nach ihren Beobachtungen eine der produktivsten Cyber-Spionagegruppen in Bezug auf die Menge der gestohlenen Informationen.

Aufgrund des Ausmaßes der Cyber-Angriffe, der Menge der gestohlenen sensiblen Daten und ihrer Auswirkungen veröffentlichte das Unternehmen am 18. Februar 2013 einen Bericht über die Aktivitäten dieser APT1- Gruppe (auch bekannt als Comment Crew oder Shanghai Group ). Es ist zu beachten, dass alle veröffentlichten Informationen entweder aus ihren direkten Beobachtungen in den letzten 7 Jahren oder aus Informationen stammen, die im Internet frei zugänglich sind.

Nach der Veröffentlichung des Berichts wurde er von mit Viren infizierten Hackern als Spam verbreitet.

Shanghai Group Cyber ​​Spy Group

Nach Angaben des Unternehmens Mandiant hat die Cyberspionagegruppe APT1 seit 2006 systematisch sehr große Datenmengen in mindestens 141 Organisationen gestohlen und ihre Fähigkeit unter Beweis gestellt, Dutzende von Organisationen gleichzeitig auszuspionieren:

• Diese Operation hätte es möglich gemacht, sehr große Mengen (mehrere hundert Terabyte ) sensibler Informationen durch Infiltration von Computernetzwerken zu stehlen .
• Gestohlene Informationen decken ein breites Spektrum sensibler Daten in Bezug auf Strategie (interne Memos, Agenden, Berichte), Produktentwicklungen (Technologie, Systemdesign, Handbücher, Testergebnisse), industrielle Prozesse (Standards, proprietäre Verfahren) und kommerzielle Informationen (Geschäftspläne) ab , Vertragsverhandlungen, Preislisten), externe Wachstumsoperationen (Fusionen / Übernahmen) oder Partnerschaften, Inhalte der elektronischen Postfächer von Managern sowie Benutzernamen und Passwörter.
• Die Gruppe gelingt es den Zugriff auf die Aufrechterhaltung Corporate Computernetzwerken für einen durchschnittlichen Zeitraum von einem Jahr (356 Tage). In einem Fall gelang es der Gruppe, den Zugriff auf das interne Netzwerk des Unternehmens für 1.764 Tage oder vier Jahre und zehn Monate aufrechtzuerhalten.

Laut demselben Mandiant- Unternehmensbericht konzentriert sich die APT1- Cyberspionagegruppe auf englischsprachige Organisationen:

• Von den 141 Opfern von APT1 haben 87% ihren Hauptsitz in Ländern, in denen Englisch die Muttersprache ist.
• Die Opferunternehmen oder Regierungsorganisationen befinden sich hauptsächlich in den USA, Kanada und Großbritannien in 20 verschiedenen Branchen. Es wurde nur ein französisches Unternehmen identifiziert.

Das Unternehmen vervollständigt seinen Bericht mit der Angabe, dass diese APT1- Gruppe über eine umfassende Infrastruktur von IT-Systemen auf der ganzen Welt verfügt:

• In den letzten zwei Jahren hat das Unternehmen beobachtet, wie die APT1- Gruppe fast tausend Command and Control (C2) -Server eingerichtet hat, die auf separaten IP-Adressen in 13 Ländern gehostet werden . Die Mehrheit dieser 849 eindeutigen IP-Adressen wurde in China registriert (709), gefolgt von den USA (109). Darüber hinaus haben in 97% der identifizierten Fälle die Hacker über IP-Adressen in der Region Shanghai in China eine Verbindung zu diesen Befehls- und Kontrollservern hergestellt.
• Im gleichen Zeitraum identifizierte das Unternehmen 2.551 vollqualifizierte  Internet-Domain-Namen , die APT1 zugewiesen wurden. Beachten Sie, dass das Unternehmen Mandiant die Liste dieser Domainnamen auf seiner Website veröffentlicht hat.

Die Shanghai Group wäre die Einheit 61398

Laut der Firma Mandiant ist die wahrscheinlichste Hypothese, dass die Cyberspionagegruppe APT1 oder Shanghai Group die chinesische Armeeeinheit 61398 ist:

• Aufgrund des Umfangs dieser Cyberspionage-Operationen ist nur ein Staat in der Lage, über einen so langen Zeitraum so viele finanzielle, personelle und materielle Ressourcen zu mobilisieren.
• Die technischen und sprachlichen Fähigkeiten, die zur Durchführung dieser Missionen erforderlich sind, ähneln den Fähigkeiten, die von der 3 E-  Abteilung des Generalstabs der chinesischen Armee , insbesondere der auf die Vereinigten Staaten und Kanada spezialisierten Einheit 61398, eingestellt wurden.
• Die taktischen Pläne, Methoden und Verfahren werden von Cyberspionen ebenso wie vom Militär rigoros angewendet: Mandiant hat keine Zerstörung von Daten oder Finanzbetrug in den Opferorganisationen festgestellt, was in scharfem Gegensatz zu Hackern oder organisierter Kriminalität steht ;
• Die Analyse der Aktivitätssektoren der 141 ausspionierten Organisationen zeigt eine klare Korrelation mit den strategischen Zielen des zwölften chinesischen Fünfjahresplans (2011-2015) in Bezug auf die zu entwickelnden Wirtschaftssektoren.
• Die meisten Informationen, die in diesen sieben Jahren gesammelt wurden (IP-Adressen, verwendete Koordinaten, Standort bestimmter Cyberspione, auf Chinesisch entwickelte und verwendete Systeme), laufen am selben Standort zusammen, dh in Shanghai.

Tiefer Teil des chinesischen Wirtschaftsspionage-Eisbergs

Mehrere Länder sollen über Cyberspionagefähigkeiten verfügen: in erster Linie die Vereinigten Staaten, aber auch Russland, Israel und Frankreich. Trotzdem könnte die 61398-Einheit aufgrund des schieren Volumens gestohlener sensibler Daten und der Anzahl der gemeldeten Opfer nur die "Spitze des Eisbergs" einer der größten Operationen der Spionage- und Industriegeschichte sein.

Von chinesischen Behörden widerlegte Anschuldigungen

Die chinesische Regierung hat nachdrücklich bestritten, hinter diesen Cyberspionageaktivitäten zu stehen:

• Am selben Tag, an dem das Unternehmen den Bericht am 18. Februar 2013 veröffentlichte, sagte das chinesische Außenministerium , die Vorwürfe seien "unverantwortlich und unprofessionell" und erinnerte daran, dass "China Hacking-Aktionen entschieden ablehnt und Gesetze und Vorschriften erlassen und strenge polizeiliche Maßnahmen ergriffen hat gegen Online-Hacking-Aktivitäten verteidigen “.
• Und am 20. Februar 2013 gab das chinesische Verteidigungsministerium an, dass die Behauptungen des Unternehmens "tatsächlich unbegründet" seien.

Die chinesische Regierung hat die Existenz dieser Einheit jedoch nicht bestritten, während Fotos und Videos des Gebäudes, das sein Hauptquartier sein soll, von zahlreichen Medien aufgenommen wurden.

Anmerkungen und Referenzen

1. (in) John Avlon und Sam Schlinkert, So hackt China Amerika: Im Mandiant Report , The Daily Beast, 19. Februar 2013 , online zu lesen
2. Anne Flaherty, Ein Blick auf Mandiant, Vorwürfe zu China-Hacking, Associated Press, 20. Februar 2012 , online zu lesen
3. (in) "Die  chinesische Armeeeinheit wird als mit dem Hacken gegen die USA verbunden angesehen  " , The New York Times ,18. Februar 2013(abgerufen am 25. Februar 2013 )
4. "  Bericht" Besetzung der Informationshochburg: Chinesische Fähigkeiten für Computernetzwerkbetrieb und Cyberspionage "erstellt für die China / US-Sicherheitskommission des Kongresses der Vereinigten Staaten  " unter uscc.gov ,12. März 2012, p.  47
5. "  Mandiant APT1 Report  " ,2013, p.  8
6. "  Mandiant APT1 Report  " ,2013, p.  9
7. (in) "  Die chinesische Volksbefreiungsarmee signalisiert Geheimdienst und Anerkennung der Cyberinfrastruktur  " ,11. November 2011, p.  8
8. Ursula Gauthier, "  Die 61046 Einheit , die Spione auf Europa  ", L'Obs , n o  2613,4. Dezember 2014, p.  41 ( ISSN  0029-4713 )
9. (in) "  Die chinesische Volksbefreiungsarmee signalisiert Geheimdienst und Anerkennung der Cyberinfrastruktur  " ,11. November 2011, p.  10
10. (in) "  PLA Unit 61398 Recruitment Notice Found  " , China Digital Times,20. Februar 2013(abgerufen am 2. März 2013 ) , p.  10
11. (in) "  Internet-Sleuths belegen die Anklage wegen Hacking durch das chinesische Militär  " , New York Times,27. Februar 2013
12. "  Mandiant APT1 Report  " ,2013, p.  3
13. "  Mandiant APT1 Report  " ,2013, p.  19 Ein im Bericht veröffentlichtes internes Dokument von China Telecom 2009 bezieht sich auf die Abteilung 61398 der  Abteilung 3 E des Generalstabs und den Aufbau eines Netzwerks für die nationale Verteidigung
14. Sébastian SEIBT, „  Einheit 61398, chinesisches Cyberspionagenest?  » , Auf france24.com ,19. Februar 2013(abgerufen am 21. März 2012 )
15. "  Mandiant APT1 Report  " ,2013, p.  11 Das Unternehmen schätzte die Anzahl der Mitarbeiter anhand der Größe und des Raums des von dieser Einheit genutzten Gebäudes
16. (in) "  Chinesische Armee-Hacker sind die Spitze der Eisberg-Cyberkriegsführung  " , The Guardian,23. Februar 2013(abgerufen am 24. Februar 2013 )
17. (de) "  Hacker in Verbindung mit Chinas Armee von der EU bis nach DC  " , Bloomberg.com ,27. Juli 2012(abgerufen am 2. März 2013 )
18. Mark Clayton , „  US-Geschäftsgeheimnisse stehlen: Experten identifizieren zwei riesige Cyber-Banden in China  “, CSMonitor,14. September 2012(abgerufen am 24. Februar 2013 )
19. (in) "  Mandiant Corp. wird nach China Hacking Report viral  " , Arab Times,23. Februar 2013(abgerufen am 25. Februar 2013 )
20. "  Mandiant APT1 Report  " ,2013, p.  2
21. "  Chinesische Armeeeinheit wird als mit Hacking gegen die USA verbunden angesehen  " , New York Times,18. Februar 2013
22. Brian Price, gefälschter mandantischer chinesischer Hacking-Bericht, der in der Angriffskampagne der Sicherheitswoche vom 21. Februar 2013 verwendet wurde , um online zu lesen
23. "  Mandiant APT1 Report  " ,2013, p.  20
24. "  Mandiant APT1 Report  " ,2013, p.  25
25. "  Mandiant APT1 Report  " ,2013, p.  21
26. "  Einheit 61398, chinesisches Cyber-Spionagenest?"  » , Frankreich 24 ,19. Februar 2013(abgerufen am 24. Februar 2013 )
27. „  Mandiant APT1 Report  “ ,2013, p.  4
28. "  Mandiant APT1 Report  " ,2013, p.  59 und 60
29. "  USA sollen Ziel einer massiven Cyberspionagekampagne sein  " , Washington Post,10. Februar 2013(Zugriff auf 1 st März 2013 )
30. (in) "  Chinesische Armeeeinheit wird als mit Hacking gegen die USA verbunden angesehen  " The New York Times18. Februar 2013(abgerufen am 25. Februar 2013 )
31. (in) "  China sagt, dass die Armee im Bericht nicht hinter Angriffen steckt  " , The New York Times20. Februar 2013(abgerufen am 25. Februar 2013 )
32. (in) "  Reuters - 61398 Unity  " , Reuters,19. Februar 2013(abgerufen am 4. März 2013 )

Siehe auch

Quellen und Bibliographie

• (de) APT1 - Enthüllung einer der chinesischen Cyberspionage-Einheiten , USA, privates amerikanisches IT-Sicherheitsunternehmen Mandiant,18. Februar 2013, 74 (ohne Anhänge)  p. ( online lesen )

Ähnliche Einheiten

• Team Tailored Access Operations der NSA
• Büro 121 der koreanischen Volksarmee

Zum Thema passende Artikel

• Fortgeschrittene persistente Bedrohung (APT)
• Cyber-Angriff
• Cyber-Verteidigung
• Cyberkrieg
• Industrielle Spionage
• Elektronische Kriegsführung
• Informationskrieg
• IT-Sicherheitsrisiken

Externe Links

• Video der Firma Mandiant, das den Betriebsmodus der APT1-Gruppe zeigt (auf Youtube)