Unidad 61398 del Ejército Popular de Liberación

Chinese advanced persistent threat unit

Military unit

La Unidad 61398 del PLA (también conocida como APT1 , Comment Crew , Comment Panda , GIF89a o Byzantine Candor ; chino : 61398部队, pinyin : 61398 bùduì ) es el Designador de Cobertura de Unidad Militar (MUCD) ^[1] de una unidad avanzada de amenaza persistente del Ejército Popular de Liberación que se alega que es una fuente de ataques de piratería informática china . ^{[2] [3] [4]} La unidad está estacionada en Pudong , Shanghái , ^[5] y ha sido citada por las agencias de inteligencia estadounidenses desde 2002.

Historia

De izquierda a derecha, los oficiales militares chinos Gu Chunhui, Huang Zhenyu, Sun Kailiang, Wang Dong y Wen Xinyu acusados ​​de espionaje cibernético.

Un informe de la empresa de seguridad informática Mandiant afirmó que se cree que la Unidad 61398 del EPL opera bajo el Tercer Departamento (总参三部二局) del Departamento del Estado Mayor General (GSD) de la Segunda Oficina del Ejército Popular de Liberación ^[1] y que hay evidencia de que contiene, o es en sí misma, una entidad que Mandiant llama APT1 , parte de la amenaza persistente avanzada que ha atacado a una amplia gama de corporaciones y entidades gubernamentales en todo el mundo desde al menos 2006. Se describe que APT1 comprende cuatro grandes redes en Shanghái, dos de las cuales sirven a la Nueva Área de Pudong. Es uno de los más de 20 grupos APT con orígenes en China. ^{[1] [6]} Se cree que el Tercer y el Cuarto Departamento , responsables de la guerra electrónica , comprenden las unidades del EPL principalmente responsables de infiltrarse y manipular las redes informáticas. ^[7]

Acusación de 2014

El 19 de mayo de 2014, el Departamento de Justicia de los EE. UU. anunció que un gran jurado federal había presentado una acusación formal contra cinco oficiales de 61398 por cargos de robo de información comercial confidencial y propiedad intelectual de empresas comerciales estadounidenses y de plantar malware en sus computadoras. ^{[8] [9]} Los cinco son Huang Zhenyu (黄振宇), Wen Xinyu (文新宇), Sun Kailiang (孙凯亮), Gu Chunhui (顾春晖) y Wang Dong (王东). La evidencia forense rastrea la base de operaciones hasta un edificio de 12 pisos cerca de Datong Road en un área pública de uso mixto de Pudong en Shanghai. ^[2] El grupo también es conocido por otros nombres, entre ellos "Advanced Persistent Threat 1" ("APT1"), "the Comment group" y "Byzantine Candor", un nombre en clave dado por las agencias de inteligencia estadounidenses desde 2002. ^{[10] [11] [12] [13]}

El grupo a menudo compromete las funciones de "comentarios" del software interno en páginas web legítimas para infiltrarse en las computadoras objetivo que acceden a los sitios, lo que lo lleva a ser conocido como "The Comment Crew" o "Comment Group". ^{[14] [15]} El colectivo ha robado secretos comerciales y otra información confidencial de numerosas empresas y organizaciones extranjeras a lo largo de siete años, como Lockheed Martin , Telvent y otras empresas de los sectores naviero, aeronáutico, armamentístico, energético, manufacturero, de ingeniería, electrónico, financiero y de software. ^[11]

Dell SecureWorks dice que cree que el grupo incluye al mismo grupo de atacantes detrás de la Operación Shady RAT , una extensa campaña de espionaje informático descubierta en 2011 en la que más de 70 organizaciones durante un período de cinco años, incluidas las Naciones Unidas, agencias gubernamentales en los Estados Unidos, Canadá, Corea del Sur, Taiwán y Vietnam, fueron atacadas. ^[2]

Los ataques documentados en el verano de 2011 representan un fragmento de los ataques del grupo Comment, que se remontan al menos a 2002, según los informes de incidentes y los investigadores. En 2012, FireEye, Inc. declaró que había rastreado cientos de objetivos en los últimos tres años y estimó que el grupo había atacado a más de 1.000 organizaciones. ^[12]

La mayor parte de la actividad entre el malware incrustado en un sistema comprometido y los controladores del malware tiene lugar durante el horario comercial en la zona horaria de Beijing, lo que sugiere que el grupo está contratado profesionalmente, en lugar de piratas informáticos privados inspirados por pasiones patrióticas. ^[7]

Un informe de 2020 en Daily News and Analysis afirmó que la unidad estaba interesada en información relacionada con la defensa y la investigación en la India. ^[16]

Posición pública del gobierno chino

Hasta 2013, el Gobierno de China ha negado sistemáticamente su participación en la piratería informática. ^[17] En respuesta al informe de Mandiant Corporation sobre la Unidad 61398, Hong Lei , portavoz del Ministerio de Asuntos Exteriores chino , dijo que tales acusaciones eran "poco profesionales". ^{[17] [4]}

Véase también

• Lluvia de titanes
• El espionaje chino en Estados Unidos
• Agencia de Seguridad Nacional de los Estados Unidos
• Unidad 61486 del Ejército Popular de Liberación
• Inteligencia de señales
• Operaciones de acceso personalizado de los Estados Unidos
• Mandante
• Ojo de fuego

Referencias

1. "APT1: Exponiendo una de las unidades de ciberespionaje de China" (PDF) . Mandiant. Archivado (PDF) del original el 19 de febrero de 2013 . Consultado el 19 de febrero de 2013 .
2. Sanger, David E.; Barboza, David ; Perlroth, Nicole (19 de febrero de 2013). "Una unidad del ejército chino está vinculada a un ataque informático contra Estados Unidos" The New York Times . ISSN  0362-4331. Archivado desde el original el 19 de febrero de 2013 . Consultado el 28 de mayo de 2023 .
3. "Una unidad militar china está detrás de un 'hackeo prolífico y sostenido'". The Guardian . 19 de febrero de 2013. Archivado desde el original el 20 de diciembre de 2013 . Consultado el 19 de febrero de 2013 .
4. "Hola, Unidad 61398". The Economist . 19 de febrero de 2013. ISSN  0013-0613. Archivado desde el original el 28 de mayo de 2023 . Consultado el 28 de mayo de 2023 .
5. "中国人民解放军61398部队招收定向研究生的通知" [Una notificación de la Unidad 64398 del PLA para reclutar estudiantes de posgrado como estudiantes becados financiados por el PLA.]. Universidad de Zhejiang . 13 de mayo de 2004. Archivado desde el original el 2 de diciembre de 2016 . Consultado el 5 de enero de 2019 .
6. Joe Weisenthal y Geoffrey Ingersoll (18 de febrero de 2013). «INFORME: Una abrumadora cantidad de ataques cibernéticos contra Estados Unidos provienen de este edificio militar en China». Business Insider. Archivado desde el original el 20 de febrero de 2013. Consultado el 19 de febrero de 2013 .
7. Bodeen, Christopher (25 de febrero de 2013). «Señal de que los hackers chinos se han profesionalizado: se toman los fines de semana libres». The Huffington Post . Archivado desde el original el 26 de febrero de 2013. Consultado el 27 de febrero de 2013 .
8. Finkle, J., Menn, J., Viswanatha, JUS acusa a China de espionaje cibernético a empresas estadounidenses. Archivado el 12 de abril de 2017 en Wayback Machine. Reuters, 20 de noviembre de 2014.
9. Clayton, M. Estados Unidos acusa a cinco miembros de la secreta 'Unidad 61398' de China de espionaje cibernético. Archivado el 20 de mayo de 2014 en Wayback Machine. Christian Science Monitor, 19 de mayo de 2014
10. David Perera (6 de diciembre de 2010). "Los ataques chinos 'Byzantine Candor' penetraron en las agencias federales, dice un cable filtrado". fiercegovernmentit.com . Fierce Government IT. Archivado desde el original el 19 de abril de 2016.
11. Clayton, Mark (14 de septiembre de 2012). "Robo de secretos comerciales estadounidenses: los expertos identifican dos enormes 'bandas' cibernéticas en China". CSMonitor . Archivado desde el original el 15 de noviembre de 2019 . Consultado el 24 de febrero de 2013 .
12. Riley, Michael; Dune Lawrence (26 de julio de 2012). "Hackers vinculados al ejército de China vistos desde la UE hasta DC" Bloomberg.com . Bloomberg . Archivado desde el original el 11 de enero de 2015 . Consultado el 24 de febrero de 2013 .
13. Michael Riley; Dune Lawrence (2 de agosto de 2012). "El grupo de comentarios de China ataca a Europa y al mundo". Bloomberg Businessweek . Archivado desde el original el 19 de febrero de 2013. Consultado el 12 de febrero de 2013 .
14. Martin, Adam (19 de febrero de 2013). "Conoce a 'Comment Crew', los hackers chinos vinculados al ejército". NYMag.com . New York Media . Archivado desde el original el 22 de febrero de 2013 . Consultado el 24 de febrero de 2013 .
15. Dave Lee (12 de febrero de 2013). «The Comment Group: Los hackers que buscan pistas sobre ti». BBC News. Archivado desde el original el 12 de febrero de 2013. Consultado el 12 de febrero de 2013 .
16. Shukla, Manish (3 de agosto de 2020). «La unidad secreta '61398' del ejército chino espía la defensa y la investigación de la India, advierte la inteligencia». DNA India . Archivado desde el original el 20 de noviembre de 2022. Consultado el 6 de enero de 2024 .
17. Xu, Weiwei (20 de febrero de 2013). «China niega acusaciones de piratería informática». Morning Whistle. Archivado desde el original el 29 de junio de 2013. Consultado el 8 de abril de 2013 .

31°20′57.43″N 121°34′24.74″E / 31.3492861°N 121.5735389°E / 31.3492861; 121.5735389