Unidade 61398

61398 部队
Bandeira PLA
Criação	2004 (Est.)
País	China
Fidelidade	Exército de Libertação Popular
Função	espionagem
Eficaz	2.000 (Est.)
É parte de	3  Departamento E do Estado-Maior do Exército Chinês

A unidade 61398 (chinês: 61398 部队) do Exército de Libertação do Povo , com sede em Xangai , é responsável pela condução de operações militares no campo das redes de computadores .

Em relatório publicado em 18 de fevereiro de 2013, a empresa de segurança informática Mandiant acusa esta unidade do exército chinês de estar na origem desde 2006 de uma vasta operação de ciberespionagem principalmente contra empresas e organizações anglo-saxãs. O governo chinês negou imediatamente estar por trás dos ataques cibernéticos .

Apresentação

O  departamento 3 E do Estado-Maior General do exército chinês , cujo número é estimado em 130.000 pessoas, em particular atividades semelhantes às da Agência de Segurança Nacional (NSA).

Dentro deste 3 rd departamento, unidade de 61398 (também chamado 2 nd  escritório), que não tem existência oficial no organograma do exército chinês, é, em particular, responsável pelas atividades de inteligência sobre questões políticas, económicas e militares. Esta unidade iria incidir sobre o US e Canadá , enquanto a unidade 61046 (também chamado de 8 th  escritório) é especializada na Europa.

A data exata de criação desta unidade permanece desconhecida, no entanto, ela estava recrutando jovens graduados em ciência da computação da Universidade de Zhejiang já em 2004.

No início de 2007, teve início a construção de um prédio dedicado a essa unidade no distrito de Pudong, em Xangai . Em 2009, esta unidade beneficiou, em nome da “razão de estado”, do apoio da operadora estatal China Telecom para construir a sua arquitetura de rede de fibra óptica. O prédio está localizado na 208 Datong Road, ocupa 12 andares e 12.138  m 2 .

Em 2013, a força dessa unidade é estimada em 2.000 pessoas.

Suspeitas recorrentes de espionagem cibernética 2002-2012

Durante anos, especialistas em segurança de computadores alertaram estados e empresas sobre o aumento das tentativas de ataques cibernéticos na China, mas sem demonstrar - publicamente - de forma convincente.

Dois grupos de espionagem cibernética, o Comment Crew e o Elderwood Group , que se acredita terem participado da Operação Aurora , são regularmente suspeitos de estarem ligados à China.

O grupo Comment Crew , em particular, está baseado em Xangai e ligado ao exército chinês:

• A empresa americana de segurança cibernética Fireye atribui a este grupo mais de mil ataques cibernéticos entre 2002 e 2012;
• Este grupo estaria na origem de ataques cibernéticos contra muitas empresas como RSA Security , DuPont ou British American Tobacco  ;
• Este grupo também está interessado em políticos de referência: estaria na origem do roubo em menos de 14 minutos do correio eletrónico do Presidente da Comissão Europeia em julho de 2012, durante as negociações sobre a crise económica grega;
• Também é identificado com o nome de Shanghai Group ou Byzantine Candor (o último nome é mencionado em um cabo diplomático americano de 2008 revelado pelo Wikileaks ).

Acusações diretas de espionagem cibernética em 2013

Relatório APT1 da empresa Mandiant publicado em fevereiro de 2013

A Mandiant, empresa privada de segurança de computadores dos Estados Unidos, foi fundada em 2004 por Kevin Mandia, que antes era investigador de crimes cibernéticos da Força Aérea dos Estados Unidos.

Desde o seu início, esta empresa investigou violações de segurança de computador de centenas de organizações em todo o mundo. Em 2006, ela identificou uma equipe de hackers realizando espionagem cibernética que ela chamou de APT1 (Mandiant identificou mais de 20 grupos semelhantes ao todo, cujos ataques se originam da China). E até à data, em 2013, este grupo APT1 é, segundo as suas observações, um dos grupos ciberespiões mais prolíficos em termos de quantidade de informação roubada.

Devido à escala dos ataques cibernéticos, à quantidade de dados confidenciais roubados e seus impactos, a empresa publicou em 18 de fevereiro de 2013, um relatório sobre as atividades desse grupo APT1 (também conhecido como Comment Crew ou Shanghai Group ). De referir que toda a informação publicada provém quer das suas observações directas durante os últimos 7 anos, quer de informação livremente acessível na Internet.

Após a publicação do relatório, ele foi distribuído como spam por hackers infectados com vírus.

Grupo Xangai Cyber ​​Spy Group

De acordo com a empresa Mandiant , o grupo de espionagem cibernética APT1 roubou sistematicamente, desde 2006, grandes volumes de dados em pelo menos 141 organizações, e demonstrou sua capacidade de espionar dezenas de organizações simultaneamente:

• Essa operação teria possibilitado o roubo de grandes quantidades (várias centenas de terabytes ) de informações confidenciais ao se infiltrar em redes de computadores.
• As informações roubadas cobrem um amplo espectro de dados sensíveis em termos de estratégia (memorandos internos, agendas, relatórios), desenvolvimento de produtos (tecnologia, design de sistema, manuais, resultados de testes), processos industriais (padrões, procedimentos proprietários), informações comerciais (planos de negócios , negociações contratuais, tabela de preços), operações de crescimento externo (fusões / aquisições) ou parceria, conteúdo das caixas de correio eletrônicas dos gestores, bem como nomes de usuário e senhas.
• O grupo consegue manter o acesso às redes de computadores corporativas por um período médio de um ano (356 dias). Em um caso, o grupo conseguiu manter o acesso à rede interna da empresa por 1.764 dias, ou quatro anos e dez meses.

De acordo com o mesmo relatório da empresa Mandiant , o grupo de espionagem cibernética APT1 está se concentrando em organizações de língua inglesa:

• Entre as 141 vítimas do APT1, 87% delas têm a sua sede em países onde o inglês é a língua materna.
• As empresas vitimizadas ou organizações governamentais estão localizadas principalmente nos Estados Unidos, Canadá e Grã-Bretanha, em 20 setores diferentes. Apenas uma empresa francesa foi identificada.

A empresa conclui seu relatório especificando que este grupo APT1 mantém uma vasta infraestrutura de sistemas de TI em todo o mundo:

• Nos últimos dois anos, a empresa observou o grupo APT1 estabelecer quase mil servidores de Comando e Controle (C2), hospedados em endereços IP separados em 13 países. A maioria desses 849 endereços IP exclusivos foi registrada na China (709), seguida pelos Estados Unidos (109). Além disso, em 97% dos casos identificados, os hackers se conectaram a esses servidores de comando e controle a partir de endereços IP localizados na região de Xangai, na China.
• No mesmo período, a empresa identificou 2.551 nomes de domínio da Internet totalmente  qualificados atribuídos ao APT1. Observe que a empresa Mandiant publicou a lista desses nomes de domínio em seu site.

Grupo de Xangai seria a unidade 61398

De acordo com a empresa Mandiant , a hipótese mais provável é que o grupo de espionagem cibernética APT1 ou Grupo de Xangai seja a Unidade 61398 do Exército Chinês:

• Devido à escala dessas operações de espionagem cibernética , somente um Estado é capaz de mobilizar tantos recursos financeiros, humanos e materiais em um período tão longo;
• As habilidades técnicas e linguísticas exigidas para realizar essas missões são semelhantes às habilidades recrutadas pelo  departamento 3 E do Estado-Maior General do exército chinês , especialmente a Unidade 61398 (que é especializada nos Estados Unidos e Canadá);
• Os esquemas táticos, métodos e procedimentos são rigorosamente aplicados por ciberespiões, assim como os militares: Mandiant não identificou nenhuma destruição de dados ou fraude financeira nas organizações das vítimas, o que contrasta fortemente com os hackers ou o crime organizado ;
• A análise dos setores de atividade das 141 organizações espionadas mostra uma correlação clara com os objetivos estratégicos do décimo segundo plano quinquenal chinês (2011-2015) em termos de setores económicos a desenvolver;
• A maior parte das informações coletadas (endereços IP, coordenadas usadas, localização de certos ciberespiões, sistemas desenvolvidos e usados ​​em chinês) durante esses 7 anos convergem para o mesmo local, ou seja, Xangai.

Parte profunda do iceberg da espionagem cibernética econômica chinesa

Vários países têm a reputação de ter recursos de espionagem cibernética: em primeiro lugar, os Estados Unidos, mas também a Rússia, Israel e a França. No entanto, devido ao grande volume de dados confidenciais roubados e ao número de vítimas relatadas por organizações, a unidade 61398 pode ser apenas a "ponta do iceberg" de uma das maiores operações de espionagem e da história industrial.

Acusações refutadas pelas autoridades chinesas

O governo chinês negou veementemente estar por trás dessas atividades de espionagem cibernética:

• No mesmo dia em que o relatório foi divulgado pela empresa, 18 de fevereiro de 2013, o Ministério das Relações Exteriores da China disse que as alegações eram "irresponsáveis ​​e pouco profissionais" e lembrou que "a China se opõe veementemente às ações de pirataria. E estabeleceu leis e regulamentos e adotou uma polícia rigorosa medidas de defesa contra atividades de hacking online ”.
• E em 20 de fevereiro de 2013, o Ministério da Defesa Nacional chinês indicou que as alegações feitas pela empresa são "de fato, infundadas".

No entanto, o governo chinês não negou a existência dessa unidade, enquanto fotos e vídeos do prédio que seria sua sede foram ocupados por diversos meios de comunicação.

Notas e referências

1. (em) John Avlon e Sam Schlinkert, This Is How China Hacks America: Inside the Mandiant Report , The Daily Beast, 19 de fevereiro de 2013 para ler online
2. Anne Flaherty, Um olhar sobre Mandiant, alegações sobre hacking na China, Associated Press, 20 de fevereiro de 2012 para ler online
3. (em) "  Unidade do Exército Chinês é vista como vinculada a hackear contra os EUA  " , The New York Times ,18 de fevereiro de 2013(acessado em 25 de fevereiro de 2013 )
4. "  Relatório" Ocupando o terreno da informação: Capacidades chinesas para operações de rede de computadores e espionagem cibernética "preparado para a Comissão de Segurança da China / EUA do Congresso dos Estados Unidos  " , em uscc.gov ,12 de março de 2012, p.  47
5. "  Relatório Mandiant APT1  " ,2013, p.  8
6. "  Relatório Mandiant APT1  " ,2013, p.  9
7. (em) "  O Exército de Libertação do Povo Chinês, Signals Intelligence and Cyber ​​Infrastructure Recognition  " ,11 de novembro de 2011, p.  8
8. Ursula Gauthier, "  A unidade 61046 que espia na Europa  ", L'Obs , n o  2613,4 de dezembro de 2014, p.  41 ( ISSN  0029-4713 )
9. (em) "  O Exército de Libertação do Povo Chinês, Signals Intelligence and Cyber ​​Infrastructure Recognition  " ,11 de novembro de 2011, p.  10
10. (em) "  PLA Unit 61398 Recruitment Notice Found  " , China Digital Times,20 de fevereiro de 2013(acessado em 2 de março de 2013 ) , p.  10
11. (in) "  Internet Sleuths Add Evidence to Chinese Military Hacking Charges  " , New York Times,27 de fevereiro de 2013
12. "  Relatório Mandiant APT1  " ,2013, p.  3
13. "  Relatório Mandiant APT1  " ,2013, p.  19 Um documento interno da China Telecom 2009 publicado no relatório refere-se à unidade 61398 do  departamento 3 E do Estado-Maior e à construção de uma rede para a Defesa Nacional
14. Sébastian SEIBT, “  Unidade 61398, ninho de espionagem cibernética chinês?  » , Em france24.com ,19 de fevereiro de 2013(acessado em 21 de março de 2012 )
15. "  Relatório Mandiant APT1  " ,2013, p.  11 A empresa estimou o número de funcionários com base no tamanho e espaço do prédio ocupado por esta unidade
16. (em) "  Os hackers do exército chinês são a ponta do iceberg ciberguerra  " , The Guardian,23 de fevereiro de 2013(acessado em 24 de fevereiro de 2013 )
17. (en) "  Hackers ligados ao exército da China vistos da UE ao DC  " , Bloomberg.com ,27 de julho de 2012(acessado em 2 de março de 2013 )
18. Mark Clayton , “  Stealing US business secret: Experts ID two grande cyber 'gangs' in China,  ” CSMonitor,14 de setembro de 2012(acessado em 24 de fevereiro de 2013 )
19. (em) "  Mandiant Corp. Goes Viral After China Hacking Report  " , Arab Times,23 de fevereiro de 2013(acessado em 25 de fevereiro de 2013 )
20. "  Relatório Mandiant APT1  " ,2013, p.  2
21. "  Unidade do Exército Chinês é vista como vinculada a hackear contra os EUA  " , New York Times,18 de fevereiro de 2013
22. Brian Price, relatório de hacking falso Mandiant chinês usado na campanha de ataque , Semana de segurança, 21 de fevereiro de 2013 para ler online
23. "  Relatório Mandiant APT1  " ,2013, p.  20
24. "  Relatório Mandiant APT1  " ,2013, p.  25
25. "  Relatório Mandiant APT1  " ,2013, p.  21
26. "  Unidade 61398, ninho de espionagem cibernética chinês?"  » , França 24 ,19 de fevereiro de 2013(acessado em 24 de fevereiro de 2013 )
27. “  Relatório Mandiant APT1  ” ,2013, p.  4
28. "  Relatório Mandiant APT1  " ,2013, p.  59 e 60
29. "Os  EUA são alvos de uma campanha massiva de espionagem cibernética  " , Washington Post,10 de fevereiro de 2013(acessado em 1 st março 2013 )
30. (em) "  Unidade do Exército Chinês é vista como ligada a hackear contra os EUA  " The New York Times18 de fevereiro de 2013(acessado em 25 de fevereiro de 2013 )
31. (em) "  China diz que o exército não está por trás dos ataques em relatório  " , The New York Times20 de fevereiro de 2013(acessado em 25 de fevereiro de 2013 )
32. (em) "  Reuters - 61398 Unity  " , Reuters,19 de fevereiro de 2013(acessado em 4 de março de 2013 )

Veja também

Fontes e bibliografia

• (en) APT1 - Exposing One of China's Cyber ​​Espionage Units , United States, Private American IT Security Company Mandiant,18 de fevereiro de 2013, 74 (excluindo apêndices)  p. ( leia online )

Unidades semelhantes

• Equipe de operações de acesso sob medida da NSA
• Escritório 121 do Exército Popular da Coreia

Artigos relacionados

• Ameaça persistente avançada (APT)
• Ataque cibernético
• Defesa cibernética
• Guerra cibernética
• Espionagem industrial
• Guerra eletronica
• Guerra de informação
• Riscos de segurança de TI

links externos

• Vídeo da empresa Mandiant mostrando o modo de operação do Grupo APT1 (On Youtube)