Kereső toggle

Láthatatlan légió

Kiberháborút vív a kínai hadsereg

Továbbítás emailben
Cikk nyomtatása

Sanghaj egyik lelakott külvárosában áll az a tizenkét emeletes, fehér irodaépület, amelyben a Kínai Népi Felszabadító Hadsereg „kiberharcos” osztaga működik. Ebből a toronyházból indul a különféle amerikai cégek, szervezetek és kormányhivatalok elleni kibertámadások túlnyomó többsége – amiről egyre növekvő mennyiségű, amerikai hírszerzők által évek alatt gyűjtött digitális bizonyíték tanúskodik.

Az amerikai Mandiant komputerbiztonsági cég közelmúltban kiadott jelentése első ízben követi vissza a legkifinomultabb – egyesült államokbeli áldozataik által Comment Crew, azaz Kommentcsapat néven ismert – kínai hackercsoport egyes tagjait egészen a sanghaji főhadiszállásig. A Mandiant már a februári publikálás előtt előzetes betekintést nyújtott a jelentésbe a New York Times munkatársainak, akik saját, illetve kormányzati és független szakértőkkel véleményeztették a jelentés állításait a hackercsoport és a kínai hadsereg kapcsolatáról.

Bár a kínai külügyminisztérium „szakmaiatlannak” és megalapozatlannak nevezte a jelentés állításait, az elmúlt években Amerikában (is) jelentősen megnőtt a kínai eredetű hackertámadások száma. A Mandiant több mint száznegyven, a Comment Crew-tól induló támadást nyomozott le 2006 óta. Biztonsági magáncégek és hírszerző ügynökségek egyetértenek abban, hogy az általuk rendszeresen figyelt mintegy húsz kínai hackercsoport minden jel szerint a sanghaji egységgel kapcsolatban álló alvállalkozónak tekinthető.

Bár a hackercsoportok azonosítása és feltételezett megbízóikkal való összekötése a nyilvánosság előtt komoly diplomáciai kérdéseket is felvet, az Obama-kormányzat egyes források szerint Peking hivatalos figyelmeztetésére készül: a támadások mértéke és technikai színvonala mára olyan mértékben megnőtt, hogy az már alapjaiban fenyegeti a két ország kapcsolatát. Az Egyesült Államok egyfajta egyenlőtlen digitális harcot vív Kínával: „A hidegháborúban minden nap a Moszkva környéki nukleáris parancsnoki központokat lestük, ma pedig ugyanannyi aggodalmat okoznak a sanghaji számítógépes központok” – jelentette ki nemrégiben a Védelmi Minisztérium egy magas rangú alkalmazottja.

A 61398-as egység a hivatalos kínai katonai leírásokban sehol nem szerepel. A csoportot tanulmányozó hírszerzési elemzők szerint azonban ők jelentik a kínai komputeres kémkedés központi elemét, amely az Egyesült Államok és Kanada elleni kiberháború első számú harcosa, és nagy valószínűséggel a politikai, gazdasági és katonai kérdésekre összpontosít. A kiberháborúban különösen fontos célpontnak számít az amerikai Védelmi és Külügyminisztérium, amelyeket adathalász szoftverekkel céloznak meg: ha a címzett gyanútlanul rákattint, akkor egy olyan kártevőt telepít a gépre, amellyel a támadók már házon belül vannak.

A Mandiant-jelentés legérdekesebb része az, amely a feltételezések szerint a Kínai Felszabadító Hadseregnek dolgozó hackerek tevékenységét írja le részletesen. A Mandiant a megtámadott számítógépes rendszerek segítségével figyelte meg őket – az érintett cégek teljes hozzáférést biztosítottak szakembereiknek, hogy megszabadulhassanak a hívatlan vendégektől.

A Mandiant kutatása szerint a 61398-as egység körülbelül 2006 óta intéz támadásokat amerikai célpontok ellen – az utóbbi két évben a támadások száma jelentősen sűrűsödött. A csoport tagjai átlagosan egy évet töltenek el egy cég számítógépes rendszerében – adatok és jelszavak gyűjtésével –, de olyan eset is előfordult, amikor több mint négy éven keresztül gyűjtögettek illegálisan egy hálózatban. A Mandiantnak sikerült azonosítania húsz olyan támadást, melynek során ipari cégek, hadi beszállítók és vegyi üzemek, bányavállalatok és telekommunikációs cégek adatait lopták el. A Coca-Cola elleni 2009-es támadás például egybeesett az üdítőital-gyártó óriáscég azon – sikertelen – próbálkozásával, hogy 2,4 milliárd dollárért felvásárolja a kínai Huiyuan Juice Groupot. Miközben a Coca-Cola vezetői egy olyan üzletet kívántak nyélbe ütni, amely a maga területén a legnagyobb külföldi befektetés lett volna Kínában, a Comment Crew csapata a vállalat számítógépes rendszerében kutakodott, hogy minél több adatot gyűjtsön tárgyalási stratégiájáról.

Amerikában nem a Mandiant az egyetlen magáncég, amely igyekszik nyomon követni a Comment Crew-t. 2011-ben a Dell SecureWorks munkatársa, Joe Stewart az RSA nevű komputerbiztonsági cég elleni támadásokat elemezve fedezte fel, hogy a támadók milyen eszközökkel leplezték valódi tartózkodási helyüket. Az eszköztár visszakövetése révén kiderült, hogy a lopott adatok túlnyomó többségét sorozatot alkotó IP-címekre továbbították, amelyeket a Mandiant később a sanghaji bázisként azonosított. A Dell SecureWorks szerint a Comment Crew részét alkotja az a csoport is, amely egy 2011-ben leleplezett, kiterjedt kiberkémkedési kampány, az Operation Shady RAT végrehajtójaként öt éven át több mint hetven szervezet, köztük az ENSZ, valamint amerikai, kanadai, dél-koreai, tajvani és vietnami kormányhivatalok ellen kémkedett.

Az amerikai nyomozószerveket leginkább az a tény nyugtalanítja, hogy a 61398-as egységtől érkező legutóbbi támadások már nemcsak adatlopásra irányultak, hanem a kulcsfontosságú infrastruktúra manipulálására is. A Comment Crew tavaly júniusban sikertelen kísérletet tett a Digital Bond, egy ipari vezérlőszámítógépekre szakosodott biztonsági cég rendszerének megtámadására. A Digital Bond egyik alkalmazottja, Dale Peterson látszólag a főnökétől származó e-mailt kapott. A tökéletes angolsággal megírt üzenet a kulcsfontosságú infrastrukturális rendszerek biztonsági gyengeségeire hívta fel a figyelmet, és azt kérte, hogy további információért kattintson a mellékelt linkre. Peterson gyanút fogott, és más biztonsági szakemberekkel együttműködve kiderítette, hogy a link egy távoli hozzáférési lehetőséget tartalmazott, amely az ő gépén keresztül közvetlen hozzáférést biztosított volna a támadóknak a Digital Bond ügyfeleiről szóló bizalmas információkhoz – köztük egy bányavállalat, egy jelentős vízszolgáltató és egy erőmű adataihoz.

A mai napig a legproblémásabb eset a Telvent kanadai leányvállalata elleni támadás volt – a Schneider Electric tulajdonában álló cég olyan számítógépes programokat tervez, amelyek olaj- és gázvezetékeket működtető vállalatok számára távoli hozzáférést biztosítanak a szelepekhez, kapcsolókhoz és biztonsági rendszerekhez. A Telvent részletes leírásokkal és hozzáféréssel rendelkezik az Észak- és Dél-Amerikát behálózó csővezetékek mintegy feléhez. A céget tavaly szeptemberben érte hackertámadás, melynek során több projekt dokumentumait eltulajdonították – a hozzáférést szerencsére sikerült olyan hamar megszakítani, hogy a behatolók nem voltak képesek átvenni a rendszerek feletti irányítást. A szakértői vizsgálat kétség nélkül megállapította, hogy a támadás végrehajtója a Comment Crew volt.

A washingtoni kínai nagykövetség munkatársai ragaszkodnak ahhoz az állításukhoz, hogy kormányuknak nincs köze a hackerek egyébként is illegális, Kínában is a törvény által büntetett tevékenységéhez. Érvelésük szerint az ázsiai óriás maga is inkább áldozata a hackereknek – a kínai védelmi minisztérium pedig azt közölte, hogy a tárca honlapjait ért tavalyi támadások mintegy kétharmada amerikai eredetű.

A Global Times angol nyelvű kínai napilap szakértői úgy vélik, Amerika túlhangsúlyozza a kínai fenyegetést, és „bolhából elefántot csinál”. Csou Si-csien, az amerikai–kínai kapcsolatokkal foglalkozó intézet vezető kutatója pedig attól tart, hogy az újabb vádaskodások hátráltathatják a korszerű amerikai technológia eladását Kínának, és a helyzet könnyen kereskedelmi háborúba torkollhat.

Olvasson tovább: