61398 și 61486, nume de cod sau cuiburi secrete ale hackerilor chinezi?

“Unitatea 61398” din armata chineză

Marea majoritate a atacurilor cibernetice lansate împotriva Statelor Unite ale Americii a fost descoperită ca având punctul de origine în apropierea unei clădiri de 12 etaje de la periferia metropolei chineze Shanghai, o clădire care găzduieşte unitatea militară 61398. Această unitate este considerată creierul din spatele celor mai importante atacuri şi jafuri cibernetice organizate la nivel gobal, potrivit presei internaţionale.

Un articol publicat la acea vreme, în cotidianul american New York Times, explica  faptul că atacurile grupului denumit “Comment Crew”, deoarece membrii organizaţiei lasă de obicei comentarii sau linii de cod în infrastructura site-urilor pe care le atacă, nu sunt o problemă nouă pentru comunitatea de informaţii din SUA. De-a lungul timpului, grupul a extras terabiţi întregi de date de pe serverele unor companii precum Coca Cola şi Halliburton, dar şi de pe servere ale Uniunii Europene. Autorităţile chineze şi reprezentanţii lor diplomatici neagă vehement implicarea în activităţi cibernetice ilegale, iar problema spionajului industrial este trecută, în mod tradiţional, pe plan secund în relaţiile dintre SUA şi China.

Google, Microsoft, mari cotidiene americane, reţeaua fantomă Ghostnet şi numeroase alte întreprinderi americane au fost ţinta atacurilor cibernetice în ultima vreme. La fiecare atac de anvergură, China a fost principalul suspect, fără să se poată aduce dovezi formale. Publicarea raportului societăţii de securitate informatică Mandiant, în parteneriat cu New York Times, schimbă datele. Pentru prima oară, sunt stabilite relaţii clare între atacurile informatice şi armata chineză, prin intermediul Unităţii 61398. O unitate care are „sute sau posibil mii de persoane, având în vedere dimensiunea infrastructurii fizice” de care beneficiază. Ea depinde de secţia a treia a Departamentului Armatei populare a Chinei şi deci este o organizaţie militară ce răspunde direct în faţa partidului comunist şi în această calitate are acces la resursele întreprinderilor publice chineze. Acces la „servicii de care în general beneficiază marile structuri militare sau înalţi ofiţeri”. Au fost necesari şase ani pentru adunarea dovezilor de necontestat privind existenţa unei legături între guvernul chinez şi un grup de piraţi din Shanghai. Agenţii Mandiant au avut acces la reţelele interne ale numeroaselor întreprinderi americane, cu acceptul acestora, şi au aşteptat ca hackerii chinezi să-şi bage nasul operând, după care le-a luat urma. Pista i-a dus direct la un imobil de 12 etaje din cartierul Pudong din Shanghai, într-o zonă rezidenţială. În aparenţă o clădire obişnuită dar care în realitate găzduieşte cartierul general al Unităţii 61398 a Armatei Populare de Eliberare. Din interiorul zidurilor ei, informaticieni talentaţi au bombardat ani de zile 141 de întreprinderi americane cu e-mailuri false care eliberau un virus-spion cu fiecare clic. Oficial, acest Birou, care figurează în organigrama Armatei chineze, se ocupă de reţele informatice însă informaţiile recuperate de Mandiant demonstrează că este vorba de o vastă întreprindere de spionaj industrial prin atacuri informatice. Beijingul a respins imediat aceste acuzaţii. Când New York Times a bătut la uşa firmei Mandiant pentru a-i cere ajutor după atacul informatic suferit la finele lui ianuarie, se împlineau deja câţiva ani de când firma se interesa de un grup de piraţi informatici supranumit APT1 pentru „ameninţare persistentă avansată 1”, numele de cod dat de Mandiant entităţii care se ascundea în spatele atacurilor pe care le studia. Ancheta a concluzionat că un alt grup era responsabil de acel atac.

Furt de informaţii

În perioada 2006-2013, Mandiant a reuşit să observe 1.905 penetrări în ordinatoarele operate de grupul APT1. În 97% din cazuri, tastatura utilizată, Microsoft Remote Control, era configurată în chineza simplificată, caracterele folosite în China din anii 1950. Serverele, numele domeniilor şi adresele IP utilizate de grup sunt de asemenea înregistrate în China. Unele duc chiar direct în cartierul Pudong din Shanghai unde se află imobilul unităţii. Unele imprudenţe ale piraţilor au permis Mandiant să afle identitatea atacatorilor. Firma americană de securitate informatică a reuşit să identifice 141 de entităţi, victime ale piraţilor din Shanghai. Pe listă se află organizaţii americane (115), britanice (5) şi franceze (1), aparţinând în principal sectorului tehnologiilor informatice (19), aerospaţşial (16) şi agenţii guvernamentale (12). Au fost sustrase informaţii privind produsele, procesele industriale, planuri de afaceri, stenograme ale unor întâlniri confidenţiale, mailuri ale PDG-urilor şi ale Consiliilor de administraţie. Odată intraţi în sistemele informatice, grupul poate opera pe calculatorul victimei timp de mai multe luni, uneori ani, subtilizând informaţii sensibile. Cum sunt folosite aceste informaţii? New York Times a relatat că infiltrarea companiei Coca Cola în 2009 a coincis cu eşecul achiziţionării întreprinderii chineze Huiyuan Juice Group de către multinaţionala din Atlanta. De asemenea, cotidianul american relevă că, spre marea îngrijorare a autorităţilor americane, unitatea 61398 se interesează din ce în ce mai mult de întreprinderile care gestionează infrastructuri şi reţele de energie. Operând din 2006, celula APT1 au compromis întreprinderi din 20 de sectoare de activitate. 87% din societăţile vizate au sediul social în ţări unde limba maternă este engleza şi au activităţi în sectoare pe care China le consideră strategice. Astfel, piraţii au încercat să infiltreze Telvent Canada care a conceput ordinatoare prin care controlează în proporţie de 60% conductele de gaz şi de petrol nord-americane.

Ameninţarea

După ce a ezitat, Mandiant, societate americană fondată în 2004 şi care rareori face publice descoperirile sale, a decis să publice rezultatul a mai multor ani de cercetări. Într-un raport precedent din 2010, Mandiant declara: „guvernul chinez autorizează, probabil”, cyberatacurile dar „nu există nici un mijloc de a defini dimensiunea implicării sale”. Acum, după trei ani, situaţia s-a schimbat. „Deţinem dovezi pentru a ne schimba poziţia. Detaliile pe care le-am analizat în cursul a sute de anchete ne-au convins că grupurile care duc aceste activităţi sunt în principal localizate în China şi guvernul chinez cunoaşte existenţa lor”. Firma americană a reuşit să identifice trei persoane. Ugly Gorilla, alias Wang Dong, a înregistrat primul numele domeniului atribuit unităţii 61398 în 2004 şi a dezvoltat primul virus din familia MANITSME. Sub pseudonimul SuperHard s-ar ascunde un chinez de 30 de ani, Mei Qiang, implicat în cercetare şi dezvoltarea virusurilor informatice pentru unitate. DOTA, al cărui nume real este necunoscut, este cel care a înregistrat în mod imprudent un număr de telefon din Shanghai. El este şi un mare fan Harry Potter, nume pe care îl foloseşte adesea ca parolă.

Agenţii Mandiant consideră că „este timpul să recunoaştem că ameninţarea vine din China. Dorim să contribuim la înarmarea şi pregătirea profesioniştilor în securitate pentru a combate eficient această ameninţare”. Totodată, firma americană se aşteaptă la represalii ca şi la o schimbare de strategie din partea Armatei populare chineze. În sprijinul descoperirii lor, autorii raportului de 74 de pagini au inserat şi fotografii, scheme şi chiar înregistrări video, realizând un portret-robot inedit a acestei organizaţii care operează din umbră, existenţa ei fiind negată public de autorităţile chineze.

Concluziile ultimului raport al National Intelligence Estimate (NIE), clasat secret şi care provine de la diferite servicii americane de informaţii, publicat în această lună de Washington Post, fac din China ţara cea mai agresivă în căutarea accesului la date care i-ar permite că obţină un avans în domeniul economic.

SUA, o ţintă

A trecut aproape neobservat faptul că la 12 februarie, Barack Obama a semnat un nou decret prezidenţial privind securitatea cibernetică. Facilitând schimburile de informaţii între Administraţia americană, agenţiile de informaţii şi întreprinderile private, textul caută să întărească securitatea infrastructurilor informatice strategice. Decretul a fost semnat la câteva zile după o serie de atacuri cibernetice contra unor firme şi media americane. Wall Street Journal precizează că, în mod contrar pericolului armelor nucleare, atacurile cibernetice nu provin numai din partea unui număr restrâns de ţări şi se arată necesară o nouă strategie a apărării într-o perioadă în care Statele Unite au devenit o ţintă de predilecţie. Publicaţia dezvăluie date din raportul secret publicat şi de Washington Post, potrivit căruia atacurile contra SUA au ca obiectiv slăbirea economiei americane. Raportul mai numeşte alte trei state angajate în bătălia cyberinteligenţei economice şi care au atacat deja Statele Unite – Rusia şi, surprinzător, Israel şi Franţa.

Atacuri „preventive”

Chiar dacă noile programe par să mizeze în principal pe apărare, SUA vor fi pregătite să meargă mai departe şi New York Times arată că un raport secret îi acordă lui Barack Obama o mai mare libertate de a utiliza atacuri numite „preventive”. „Noile politici vor defini modalităţile potrivit cărora agenţiile de informaţii vor putea penetra ordinatoarele la distanţă, pentru a obţine informaţii privind riscuri de atacuri potenţiale contra Statelor Unite. Cu autorizarea preşedintelui, vom putea ataca adversarii cu un cod distrugător, fără ca războiul să fie declarat”, explică publicaţia. Barack Obama a dat deja undă verde unei serii de cyberatacuri – fără a recunoaşte asta – contra Iranului, cu o armă redutabilă, virusul Stuxnet. Operaţiunea cu nume de cod „Jocuri olimpice” a fost orientată contra centralelor iraniene de îmbogăţire a uraniului. „Atacurile contra Iranului au demonstrat că infrastructurile unei ţări pot fi distruse fără a fi bombardate sau fără a trimite sabotori”, scrie New York Times. Şi asta fără a se pune problema încălcării dreptului internaţional, asigură un înalt responsabil american în articolul din NYT. „SUA vor acţiona conform dreptului lor intrinsec la legitimă apărare în spaţiul cibernetic, aşa cum recunoaşte dreptul internaţional, pentru prevenirea oricărei pierderi iminente de vieţi sau de daune semnificative”.

În acest nou climat unde virusurile informatice şi codurile distructive devin noi arme de război, apărarea americană va trebui să schimbe relaţia sa cu hackerii. În SUA, ei sunt trimişi în închisoare. La ora în care statul investeşte masiv în securitatea cibernetică, cererea de talente explodează şi Agenţia Naţională de Securitate recrutează deja experţi în informatică. Asociaia americană de apărare a libertăţilor individuale (ACLU) a aprobat decretul Obama care „nu afectează negativ libertăţile civile”, arată ziarul The Hill. Noul decret incită furnizorii de acces la internet şi servicii ca Facebook sau Twitter să comunice informaţiile care pot pune în pericol ţinte militare şi de infrastructură, dar în mod „voluntar” şi nu obligatoriu.

O a doua unitate chineză de hackeri militari, descoperită de analişti

Între 2007 și 2014, o unitate militară din China a spionat, furând informaţii ale industriei private şi ale agenţiilor guvernamentale din Statele Unite, Europa şi Japonia.

Atacurile vin din partea Unităţii 61486, care se află sub ordinul unei agenţiei cu nume confuz – Colectare a Semnalelor de Informaţii, aparţinând Armatei chineze de Eliberare a Poporului.

Detaliile unităţii au fost descoperite de către analiştii companiei de securitate CrowdStrike, care a publicat pe 9 iunie un raport ce conţine descoperirile sale. O unitate cu un rol cheie, spun aceştia, ”fură secrete comerciale ale apărării Statelor Unite, ale aliaţilor europeni şi ale industriilor aerospaţiale”.

Descoperirile CrowdStrike vin la mai puţin de o lună după ce Departamentul de Justiţie al Statelor Unite a acuzat cinci ofiţeri ai armatei chineze de implicarea în furt economic împotriva companiilor din Statele Unite.

S-a descoperit acum că unitatea 61486 este a doua unitate majoră a armatei chineze implicată în furt economic. Prima, ai cărei ofiţeri sunt acuzaţi în tribunalele din Statele Unite, făceau parte din Unitatea 61398.

Surse: epochtimes-romania.com, hotnews.ro/, romanialibera.ro, businessmagazin.ro, zf.ro

Sursa foto: visualhunt.com

Leave a Reply

Your email address will not be published. Required fields are marked *