Kitajska hekerska skupina APT1 je vojaška Enota 61398
Matej Huš
19. feb 2013 ob 22:03:32
Čeprav Kitajska redno in vztrajno zanika hekerske napade, katerih jo obtožujejo zahodne države, se dokazi o kitajski vpletenosti kar kopičijo. Danes je svoje poročilo predstavila skupina Mandiant, ki med raziskuje varnost časopisnih hiš, za katere se je letos izkazalo, da so že lep čas tarča kitajskih hekerjev. Mandiant predstavlja nove dokaze, da kitajska vlada ni le naročnik teh napadov, ampak da jih financira in da so mnogi plod hekerske enote v kitajski vojski. Kitajsko zunanje ministrstvo očitke zavrača, češ da gre za obtožbe brez osnove, ki so neodgovorne in neprofesionalne.
Preiskovali so predvsem skupino APT1, ki so ji nadeli ime po načinu napada (Advanced Persistent Threat), ki ga večinoma uporablja. Takih skupin je na Kitajskem več deset, a je APT1 najbolj plodna in organizirana. Skupina je aktivna od leta 2006 in je v tem času napadala več kot 150 različnih tarč, večinoma (87 odstotkov) v angleško govorečih državah. Raziskovali so izvor napadov in uspeli precej dobro locirati sedež skupine in njeno osnovno infrastrukturo. ATP1 uporablja štiri večja omrežja v Šanghaju. Fizična lokacija skupine je v četrti Pudong v Šanghaju, kjer ima štab zloglasna Enota 61398. To je enota kitajske ljudske armade (PLA), v kateri je zaposlenih več sto vojakov. Za vstop vanjo je nujno dobro poznavanje računalniške varnosti in omrežij ter tekoča angleščina. Vsi indici kažejo, da je Enota 61398 isto kakor APT1 oziroma vsaj njen del, saj APT1 uporablja dve isti omrežji in si delita fizični naslov.
APT1 pa so povezani s številnimi vdori. V zadnjih sedmih letih so uspešni kompromitirali računalniške sisteme vsaj 141 organizacij, od koder so odtujili več sto terabajtov podatkov. Njihov način delovanja ostaja zelo podoben. Najprej si zagotovijo dostop do sistema z neprevidnostjo uporabnikov, ki predstavljajo prvi vektor za napad. Ko imajo dostop do sistema, ga redno obiskujejo in kradejo vse vredne dokumente. APT1 uporablja nekaj načinov, ki jih druge tovrstne ekipe še ne (orodja GETMAIL in MAPIGET za vdor v elektronsko pošto), in povprečno obdrži dostop v sistem 365 dni.
Veliko dokazov kaže, da je APT1 resnično kitajska Enota 61398. To potrjujejo IP-naslovi, nadzorni strežniki, področne nastavitve (poenostavljena kitajščina), uporabljena orodja itn. Skupno je Mandiant zbral več kot 3000 indicev, ki kažejo na provenienco skupine. APT1 je očitno velika organizacija, saj obsega več tisoč strežnikov in ima več sto zaposlenih. Sodeč po napadih imajo strokovnjake za lingvistiko, odprto kodo, pisce zlonamerne kode, strokovnjake za industrijske sisteme (SCADA in podobno), interni IT-oddelek, logistiko, finance itn. Vse kaže, da ima kitajska vojska poseben oddelek za računalniško vojskovanje. In verjetno niso edini.