211service.com
Exposé av kinesiska datatjuvar avslöjar slarvig taktik
Ett beige kontorshus i Shanghais förorter som tillhör den kinesiska armén blev världsberömt på tisdagen efter att Mandiant, ett Washington-baserat datasäkerhetsföretag, släppte en 60-sidig rapport påstå att det huserar en grupp som rutinmässigt stjäl information från amerikanska företag. Även om det inte finns några direkta bevis för att den kinesiska armén sponsrar kampanjen, är en sak som rapporten klargör att de som utförde den inte var de smartaste operatörerna.

Elektroniskt krig: China's People's Liberation Army anklagas för att ha en enhet dedikerad till att stjäla hemligheter från amerikanska företag och till och med kränka ett företag vars mjukvara kontrollerar energiinfrastrukturen.
Gruppen brydde sig ofta inte om att dölja var ett nätverk infiltrerades från. Mandiants utredare fångade angripare som loggade in på Facebook-, Twitter- och Gmail-konton med hjälp av datorerna de hade attackerat och stal sedan hackarnas lösenord.
Mandiants rapport kommer en vecka efter att president Obama tillkännagav ett nytt försök att försvara USA mot datorattacker som han sa användes för att stjäla företagshemligheter och till och med lägga grunden för sabotage av energiinfrastruktur (se Obama tillkännager plan för att stötta cyberförsvar) . Mandiant rapporterar att gruppen som den spårade, kallad APT1, har stulit hundratals terabyte av känslig kommersiell data från minst 141 företag sedan 2006, och även brutit mot Telvent, ett kanadensiskt företag vars programvara används för att fjärrstyra energiinfrastruktur. Mandiant hävdar att APT1 är en del av enhet 61398 i den kinesiska armén, och är engagerad i en kampanj för att utföra industrispionage för att hjälpa kinesiska företag och samla in underrättelser som kan användas för datorbaserade attacker mot amerikansk energiinfrastruktur. De flesta offren var i USA men företag i Kanada, Storbritannien, Sydafrika och Israel var också måltavla.
Mandiant, som hjälper företag att svara på riktade attacker på och infiltration av deras datornätverk, baserar sina påståenden på information från många fall som involverar APT1-gruppen under de senaste sex åren. I många fall tittade Mandiant-anställda i hemlighet på APT1-operatörer som arbetade inuti offrens datorer.
Många taktiker som upptäckts på det sättet verkar vara dåliga val för en grupp vars arbete är beroende av att undvika upptäckt. Operatörer sågs rutinmässigt logga in på Facebook-, Twitter- och Gmail-konton med sina offers datorer.
Dessa konton användes främst för att skicka ut falska e-postmeddelanden som användes för att lura människor att installera skadlig programvara som användes för att bryta mot nya system. Att titta på det – och att stjäla lösenorden – gav värdefulla bevis som kopplade samman attacker gjorda på olika företag. Det tillät till och med Mandiant att sluta sig till existensen av flera distinkta online-personas, som antas representera särskilda medlemmar av APT1.
Mandiant förklarar denna riskabla taktik som att den används för att kringgå restriktionerna för Kinas internetcensursystem, som blockerar åtkomst till Facebook och många andra västerländska sajter. (Företaget har inte förklarat varför datasäkerhetsexperter som arbetar för armén på hemliga uppdrag inte skulle få alternativa vägar runt Kinas stora brandvägg. Många turister och affärsbesökare i Kina använder kommersiella VPN-tjänster för att undvika kinesisk internetcensur.)
Mandiant hittade också bevis för att en medlem av APT1-teamet använde en onlineidentitet – UglyGorilla – som han eller hon hade använt i flera år online. Sökningar på Google avslöjade att handtaget hade använts 2004 på en kinesisk armés online frågestund, där man frågade Har Kina cybertrupper?
Att APT1-gruppen ofta gjorde en liten uppenbar ansträngning för att dölja sin fysiska plats utgör den huvudsakliga grunden för Mandiants påstående att gruppen faktiskt var en del av Unit 61398, och inne i det nyberömda kontorskvarteret. Företaget säger att många ledtrådar pekar mot Pudong New Area, en förort till Shanghai där, säger Mandiant, den kinesiska armébyggnaden är den enda betydande anläggningen med högkvalitativ kommunikationsinfrastruktur.
Angriparna brydde sig ibland inte om att använda metoder som kunde dölja IP-adressen – ett nummer som är unikt för varje internetansluten dator – som används för att komma åt system som komprometterats av gruppen, hävdar Mandiant. IP-adresser som samlades in som ett resultat och genom omvänd konstruktion av IP-döljningsverktygen när de användes associerades med Shanghai och Pudong New Area. Webbdomännamn som användes av gruppen visade sig också vara registrerade på adresser och telefonnummer i dessa områden.
Båda typerna av ledtrådar kunde ha varit bättre dolda eller fördunklade relativt enkelt. Domänregistreringsdata kontrolleras inte för riktighet vid registrering av en domän. APT1-gruppen använde verktyg som grumlade den verkliga ursprungs-IP-adressen för internetdata, men de användes inte hela tiden.
Många tekniker kunde ha gjort gruppens verksamhet mer hemlig, säger Dmitri Alperovitch, en av grundarna och teknikchefen för säkerhetsstartupföretaget Crowdstrike, som arbetar på nya sätt att upptäcka och lura angripare som de som används av APT1-gruppen. Alperovitch hjälpte till att leda utredningen av Aurora-attackerna som har sitt ursprung i Kina och som bryter mot amerikanska företag inklusive Google (se Google avslöjar kinesiska spionageansträngningar). Men slarvig driftsäkerhet utesluter inte enhet 61398, säger han. Det är väldigt vanligt med kinesiska skådespelare, inklusive de som är knutna till PLA [People's Liberation Army], säger han, förmodligen för att de inte bryr sig så mycket om de åker fast. Alperovitch säger att hans företag har identifierat andra enheter i den kinesiska armén som utför attacker liknande de av APT1.
Kinesiska tjänstemän har förnekat att deras land har någon koppling till de operationer som beskrivits av Mandiant, utan att erbjuda specifika motsvarigheter till de punkter som företaget tagit upp. Jeffrey Carr, grundare av datasäkerhetsanalytiker Taia Global och författare till boken Inside Cyber Warfare , tror att de protesterna kan vara sanna. Han tvivlar inte på att Kinas armé utför datorbaserade attacker och övervakning, men tror att den skulle fungera mer professionellt än vad APT1 gör.
Sofistikerad är en väldigt löst använd term, säger han om Mandiants märkning av attackerna. Jag tror inte att den kinesiska militären eller deras underrättelsetjänster skulle använda så uppenbara metoder och bli upptäckta så ofta, säger han. Om den kinesiska regeringen verkligen låg bakom alla attacker som Mandiant hävdar, är de hemska på det.