Kinesisk hackargrupp slår mot teknikföretag

2013-02-22 12:41  

Unika detaljer om den kinesiska hackargruppen PLA 61398 avslöjades i veckan av den amerikanska it-säkerhetsfirman Mandiant. Mest utsatta för informationsstölder beskrivs verksamheter inom it, rymd och telekom vara.

Första gången det amerikanska it-säkerhetsföretaget Mandiant offentligt rapporterade om den kinesiska hackargruppen som man kallar APT1 var 2010.

Nu tre år senare har Mandiant samlat på sig en stor mängd dokumentation och unika detaljer om gruppen. Denna sägs tillhöra den kinesiska folkarmén och sannolikt vara samma sak som cyberkommandot med nummer 61398 som huserar i ett tolv våningar högt vitt hus på gatan Datong Road, i ett bostadsområde i Shanghai.

"Storleken och betydelsen av APT1:s operationer tvingade oss att skriva den här rapporten", skriver Mandiant i inledningen till den 74-sidiga rapporten. I den hävdar man att man samlat in information via öppna källor, inte via underrättelser, och man bifogar en bilaga med över 3 000 tekniska indikationer och referenser.

Kinas försvarsdepartement dementerade i veckan anklagelserna. Man hävdar att Mandiants tekniska bevis är opålitliga och att det är oklart hur hackerattacker egentligen ska definieras.

Enligt Mandiant är APT1 eller Enhet 61398 en av de grupper som stjäl mest data och upphovsrättskyddat material i världen. Enheten sägs bestå av hundratals, kanske till och med flera tusen personer, som bedriver nätverksoperationer utifrån fyra stora it-nätverk i Shanghai och har till sin hjälp av en stor mängd kontrollservrar i världen.

Gruppens attacker har varit i snitt ett år eller 356 dagar. Men i ett fall stals information under så lång tid som fyra år och tio månader. Ett annat offer sägs ha bestulits på 6,5 terabyte information under tio månaders tid.

De kinesiska hackarnas främsta intresse är tekniska verksamheter. De uppges rikta sina angrepp mot tunga strategiska bolag, institut och myndigheter - som jobbar med i första hand - it, rymd, satellit och telekom. Att IT-bolag själv skulle vara de som i störst omfattning släpper igenom angripare kan tyckas vara aningen paradoxalt.

De kinesiska cybersoldaterna övriga intressesfärer sägs vara verksamheter inom forskning och utveckling, energi, transporter, bygg och tillverkning, ingenjörstjänster och elektronik.

För att ta sig in i datorerna använder man sig främst av vanlig så kallad phishing. Det vill säga man skickar ut mejl till anställda i de verksamheter man vill stjäla ifrån. Mejlen ser ut att vara väldigt autentiska och kommer från bekanta, chefer eller kolleger, och de innehåller klickbara länkar eller filer som är nedsmittade med avancerade spionprogram.

Om virusen inte stoppas av offrens virusskydd slinker de igenom och via kontrollservrar kan hackarna begära att trojanerna kopierar och sänder över information som finns i de smittade datorerna.

Det som stjäls är bland annat upphovsrättsligt skyddat material, forskningsresultat, patentidéer, information om affärsidéer, kundregister och mejlkommunikation med mera, uppger Mandiant.

Tre av de mer tunga och betydelsefulla hackarna anges också med sina operativa smeknamn: Ugly Gorilla, Superhard och Dota. De två förstnämnda är dock kända sedan tidigare, uppger media i USA.

Bolaget uppger att man sedan 2006 kartlagt angrepp mot 141 verksamheter varav 20 större industriföretag, attacker som man anger att hackergruppen ligger bakom. I första hand har dessa skett i USA, men somliga har också ägt rum i andra, främst engelskspråkiga länder. Man konstaterar också att det krävs goda språkkunskaper för att utföra attackerna.

I Sverige följer man den kinesiska folkarméns cyberkrigare sedan flera år tillbaka.

- Vi har ett projekt sedan 2005 som följer deras organisation, utbildning, träning och de verktyg de använder. Det mest imponerade de gjort var när de hackade sig in på den franska militära underrättelsetjänstens huvuddator i Paris och speglade deras hårddiskar. Sedan ett flertal år hackar de bland annat amerikanska företags- och myndighetsservrar – varje vecka. Det är en del av deras träning, säger Lars-Olov Strömberg, lärare på KTH i Stockholm och föreståndare för universitetets IT-forensiska labb.

Mandiant presenterar också videofilmer på Youtube som visar hur dessa operatörer arbetar.

<iframe width="468" height="315" src="http://www.youtube.com/embed/6p7FqSav6Ho" frameborder="0" allowfullscreen></iframe>

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt