Nedgången i kinesiska cyberattacker: historien bakom siffrorna





Förra sommaren samlades en publik av regeringstjänstemän, militär personal och utländska ambassadörer i Aspen, Colorado, för att höra John Carlin, då biträdande justitieminister, tala om cyberattacker. Aspen Security Forum, som hålls varje år på en hisnande semesterort i Klippiga bergen, är den sortens evenemang där nationella säkerhetswonks går för vandringar i t-shirts och shorts, sedan handelskrigshistorier över citron-hallonvatten och supermatbollar . Nyheten om hacket från den demokratiska nationella kommittén hade spruckit precis dagen innan, och många hoppades att Carlin, som ledde utredningen av händelsen, kunde tala öppet om det. Istället berättade han om justitiedepartementets åtal mot fem hackare i Kinas People's Liberation Army Unit 61398 för kommersiellt spionage – tillbaka 2014 (se ' Cyber-Spionage Nightmare ').

En pojkaktig Harvard-utbildad före detta åklagare, Carlin övervakade avdelningens ansträngningar att utrota ekonomiskt spionage innan han avgick tidigare denna månad. I juni släppte cybersäkerhetsföretaget FireEye en rapport beskriver en betydande minskning sedan början av 2013 i antalet kommersiella attacker från Kina, som är den största källan till sådana attacker. Företaget kartlade attacker mot kunder runt om i världen av 72 grupper som antingen är baserade i Kina eller tros representera kinesiska statliga intressen. Från och med mitten av 2014 observerade dess analytiker en märkbar nedgång i aktiviteten. Underrättelsetjänstemän har tyst ekat det påståendet.

För vissa i Obama-administrationen är detta ett bevis på att det fungerar att använda både morötter och pinnar för att bekämpa kinesisk stöld av immateriella rättigheter – vad Carlin kallade en all-tools approach. Åtal och så kallad namngivning och skam har åtföljts av ekonomiska sanktioner och diplomatiska ansträngningar, inklusive ett avtal från september 2015 mellan president Obama och Xi Jinping om att avstå från att bedriva eller stödja cyberstöld av immateriell egendom. Detta tillvägagångssätt är ett gigantiskt tecken på 'Ingen intrång', sa Carlin. Det är 'Gå från vår gräsmatta.'



Men andra är inte säkra på att den amerikanska regeringen borde få så mycket kredit. Den upplevda nedgången i attacker från Kina väcker en fråga: varför? Tidigare regeringstjänstemän och cybersäkerhetsexperter erbjuder nu en rad teorier – inklusive en provocerande som ifrågasätter i vilken utsträckning rent kommersiellt cyberspionage, i motsats till det mer riktade spionerandet av militär teknik och kapacitet som många nationer ägnar sig åt, någonsin varit en prioritet för den kinesiska centralregeringen i första hand.

Det råder ingen tvekan om att den kinesiska regeringen investerar betydande energi i att stjäla allt från planer på amerikanska stridsflygplan till de 22 miljoner register som förs av Office of Personal Management, eller att den har gjort lite för att förfölja kommersiella spioner. Men några av de mer kommersiellt fokuserade attackerna som utfördes av Unit 61398, enligt denna teori, kan ha varit illusioner, medan andra kanske aldrig har haft uttryckligt stöd från Peking till att börja med.

Skeptiker finns i överflöd



Fem medlemmar av Kinas People's Liberation Army Unit 61398 åtalades av det amerikanska justitiedepartementet för kommersiellt spionage 2014.

2013 efterlyste den tidigare FBI-chefen Robert Mueller en bred satsning för att utrota cyberhot och söka den varma kroppen bakom tangentbordet. När han talade vid Brookings Institution dagen efter att åtalet för Unit 61398 avtäcktes, sa Carlin att byrån hade lyckats sätta ett ansikte på den varma kroppen – eller snarare, på fem av dem. Muggbilderna av dessa män, som gick av moniker som KandyGoo och UglyGorilla, stänktes över affischer där det stod: Efterlyst av FBI.

Åtalet markerade ett brott med den vanliga diplomatiska praxisen att inte utsätta aktiva militärtjänstemän från andra länder för åtal, och många i Washington hälsade det med skepsis. Vissa tvivlade på om anklagelserna skulle kunna åtgärdas, medan andra påpekade att justitiedepartementets ståndpunkt om kommersiellt spionage – att insamling av allmän ekonomisk underrättelse är rutinmässigt statshantverk och därför acceptabelt, medan spioneri till förmån för specifika företag inte är en skillnad som få andra länder skulle erkänna. Benjamin Wittes, en senior stipendiat vid Brookings, undrade till och med om justitiedepartementets drag helt enkelt kan vara en mycket sofistikerad form av juridisk PR.



Tvivel fortsatte i september 2015, efter tillkännagivandet av Kina-U.S.A. avtal. Vissa trodde att Xis åtagande att avstå från att stödja kommersiell hacking var lite mer än läpparnas bekännelse. Det berättade James Clappers chef för National Intelligence Försvarsnyheter vid den tiden är jag personligen något av en skeptiker.

Men allt eftersom tiden gick märkte cybersäkerhetsanalytiker en märklig förändring. För sin senaste rapport startade FireEye i februari 2013, den månad då hotunderrättelseföretaget Mandiant (nu ägs av FireEye) offentligt knöt enhet 61398 till en hårt bevakad byggnad i Shanghai. Under åren som följde loggade FireEye-analytiker angrepp på kunder i USA, Japan och Europa. Attackerna nådde en topp på drygt 70 per månad i september 2013. I början av september 2015, innan Obama och Xi skrev under avtalet, hade de saktat ner till 10 per månad, vilket fick avtalet att se ut som bara en fotnot i Kinas ansikte.

Allt tyder på att Kina redan hade justerat sin politik och sitt förhållningssätt, och att avtalet var något som var genomförbart för dem eftersom de redan hade ändrat inriktning, säger Daniel McWhorter, chefsunderrättelsestrateg och vicepresident på FireEye. Rapporten är begränsad till företagets synlighet och suddig om detaljer som vilka filer angriparna tog, men i april vittnade NSA-chefen Michael Rogers om att hacking från Kina hade minskat. I ett föredrag på Aspen-forumet upprepade CIA-chefen John Brennan att underrättelsetjänsten avslöjade färre attacker från Kina. I augusti, när FireEye meddelade att de skulle säga upp cirka 10 procent av sin personal, skyllde chefer på nedgången i kinesisk aktivitet.



'dammsugare'-spionage

Wanted-affischerna och fanfaren bakom Unit 61398-åtalet förstärkte den populära missuppfattningen, som vidmakthålls av program som Herr Robot , att kinesiska hackare är mycket organiserade i sina metoder och verktyg. Faktum är att de länge var kända för att vara decentraliserade och slarviga. Cybersäkerhetsexperter förundrades en gång över att hitta flera kinesiska hackergrupper som penetrerade samma mål, med till synes liten eller ingen koordinering. Ibland gjorde sådana grupper elementära fel. I rapporten från 2013 om enhet 61398, eller APT1, som föregick justitiedepartementets åtal, kunde Mandiant tillskriva attacker till den kinesiska folkets befrielsearmé (PLA) delvis för att hackarna använde arméns hackningsinfrastruktur, som ligger utanför Kinas stora brandvägg, för att komma åt sina personliga Facebook- och Twitter-konton.

Många tror nu att sådana grupper helt enkelt har minskat på en del av bullret som gjort dem lätta att upptäcka. Samtidigt har Kina förmodligen förfinat sitt fokus från 'dammsugar'-spionage till mer exakt riktade intrång och stölder, säger Greg Austin, professor vid EastWest Institute och författare till Cyberpolitik i Kina. Statligt sponsrade hackare brukade suga upp stora mängder data och sedan sålla igenom det senare, säger han. Det kan ha ökat antalet kommersiella attacker på konstgjord väg, eftersom hackare som riktade in sig på teknologier med dubbla användningsområden som solpaneler sopade upp prisinformation tillsammans med designspecifikationer. En övergång till mer riktat nationellt säkerhetsrelaterat spionage skulle innebära en minskning av upplevda kommersiella cyberattacker.

I vissa fall kan under tiden sådana som UglyGorilla ha arbetat under bordet, utan uttryckligt tillstånd från centralregeringen. Åtalet enligt Unit 61398, till exempel, hävdar att ett statligt ägt företag anlitade enheten för att bygga en 'hemlig' databas för att hålla företagets 'intelligens'.

Tidigare biträdande justitieminister John Carlin.

Dessa förklaringar skulle hjälpa till att lösa ett antal långvariga mysterier. Medan Peking länge har uppmuntrat förvärv av utländsk teknik och IP-stöld är utbredd bland kinesiska företag, är exakt hur staten aktivt kan underlätta stöld av företag oklart. Den kinesiska regeringen har inga större underrättelseallierade och en rad prioriteringar i underrättelseinsamling, inklusive att övervaka oliktänkande, hålla sig à jour med kontroversen i Sydkinesiska havet och spåra aktivister i Tibet och Xinjiang. Det är inte känt var kommersiell spionage skulle placeras bland dessa prioriteringar – och hur informationen som stjäls i statligt sponsrade attacker systematiskt kan spridas.

Trots nära kopplingar mellan den kinesiska regeringen och den privata sektorn finns det på många områden inget uppenbart företag som tar emot kommersiella hemligheter. Unit 61398 åtalet, till exempel, anklagar att de tilltalade stal tusentals känsliga filer från ett amerikanskt dotterbolag till det tyska företaget SolarWorld AV. Dokumentet antyder att hackarna sedan vidarebefordrade dokumenten till ett eller flera kinesiska företag som exporterar solprodukter till USA. Men cirka 400 företag passar in på den beskrivningen, konstaterar Austin.

Uppfattningen att PLA, i motsats till en annan kinesisk regeringsenhet, skulle ha varit den utsedda skiljedomaren för industrispionage inom den civila sektorn är förbryllande på en annan nivå. PLA hade en gång sina händer i uppskattningsvis 20 000 företag, inklusive allt från läkemedelsföretag till bordeller. Men sedan slutet av 1990-talet har den kinesiska regeringen ägnat stor energi åt att minska arméns sidoprojekt – i syfte att få militär personal att tänka på operationer snarare än fastighetsaffärer. Sedan han kom till makten 2012 har Xi Jinping varit särskilt bestämd när det gäller militärt månsken.

Xi har också lanserat en anti-korruptionskampanj som, även om den är politiskt motiverad, har avslöjat omfattningen av militär transplantation. I januari 2015 sattes 16 högre militärofficerare under utredning för brott som innefattade försäljning av ledande befattningar och grader till högstbjudande. Bland de utrensade var Guo Boxiong, tidigare vice ordförande i den så viktiga centrala militärkommissionen. Så extrem är ansträngningen mot korruption inom PLA att alkohol, en stöttepelare i officiella banketter, har förbjudits från militära mottagningar i hopp om att avvärja motbjudande affärer – som till exempel försäljning av hackade kommersiella hemligheter.

En vändpunkt

Mot den bakgrunden verkar det kinesiska åtagandet i september förra året att avstå från kommersiella attacker vara mindre betydande. Det är inte så att Kina lever upp till avtalet eftersom de lever upp till avtalet, säger James A. Lewis från Center for Strategic and International Studies i Washington DC. De lever upp till avtalet eftersom de försöker att modernisera PLA och minska korruptionen. Även om en minskning av kommersiell hacking inte är en betydande förlust för Kina som helhet, tillägger han, är det en enorm förlust för enskilda företag och PLA-enheter.

Ändå kan USA:s agerande ha hjälpt saken att nå en vändpunkt för kinesiska ledare, som mycket väl kan ha känt till attackerna under bordet och valt att se åt andra hållet. Tidigare sekreterare för inrikessäkerhetsdepartementet Michael Chertoff, numera ordförande för säkerhetskonsultföretaget Chertoff Group, sa till mig på Aspen-forumet, Det förefaller mig inte som osannolikt att ordet gick tillbaka, 'killar, cool the hot-rodding.' Om det är något som är värt att stjäla, gör det, men gör det på ett sätt som inte är så uppenbart.”

Oavsett orsak bör minskningen av uppenbara attacker firas, säger Jason Healey, en forskare vid Columbia Universitys School for International and Public Affairs som studerar cyberkonflikt. Även om Kina helt enkelt har minskat på PLA-månsken och förfinat sin hantering av cyberspionage, är dess nuvarande tillvägagångssätt mycket mindre eskalerande än det var, säger han. Det är mer som det amerikanska systemet: du koordinerar, du räknar ut vem som går in. Någon går in och du delar uppfattningen. Det är mer så som en professionell underrättelseorganisation fungerar.

Pågående samtal ger nu en chans att hålla trycket kvar. En bilateral arbetsgrupp som bildats i kölvattnet av 2015 års överenskommelse träffas flera gånger om året. Varje gång vi pratar upprepar vi vikten av att hålla fast vid cybersäkerhetsåtagandet, säger Suzanne Spaulding, undersekreterare för departementet för inrikessäkerhet som ledde en amerikansk delegation till Peking i juni förra året. Vi gör klart för våra motsvarigheter i varje konversation att vi tittar noga på det här och att det ärligt talat inte finns så mycket förtroende hos allmänheten kring detta. De är medvetna om att juryn fortfarande är ute.

Mara Hvistendahl är Eric & Wendy Schmidt Fellow vid New America och författare till Onaturligt urval: Att välja pojkar framför tjejer och konsekvenserna av en värld full av män . I åtta år täckte hon Kina för Vetenskap tidskrifter och andra publikationer.

Dölj