Een Amerikaans beveiligingsbedrijf heeft een rapport gepubliceerd waarin het beweert dat een Chinese legereenheid waarschijnlijk achter een langdurige spionagecampagne tegen westerse landen zit. Volgens Mandiant zijn de aanvallen het werk van 'Advanced Persistent Threat' (APT) groepen. In totaal werden er meer dan 20 groepen waargenomen die vanuit China opereren.

Dat wil zeggen dat de aanvallen naar een Chinees IP-adres wijzen of dat de aanvallers bijvoorbeeld Chinese mobiele telefoonnummers gebruiken. Eén van de groepen, APT1 genaamd, zou het actiefst zijn. De activiteiten van deze groep komen van hetzelfde gebied waar ook een Chinese legereenheid opereert, genaamd Unit 61398.

Terabytes
APT1 zou in de afgelopen jaren honderden terabytes van 141 organisaties in 20 grote industrieën hebben buitgemaakt. De aanvallen beginnen meestal met het opzetten van valse domeinen en e-mailaccounts. Vervolgens krijgen slachtoffers een kwaadaardig bestand toegestuurd. Het kan dan gaan om een bestand met een exploit, hoewel er ook uitvoerbare bestanden eindigend op .exe worden verstuurd.

In sommige gevallen twijfelen de ontvangers over de bijlage, en vragen aan de afzender of die wel legitiem is. Binnen 20 minuten zou men antwoord hebben gekregen dat het om een legitiem bestand ging, hoewel het in werkelijkheid een backdoor betrof.

Eenmaal actief op de computer en het netwerk van de organisatie worden grote hoeveelheden gegevens gestolen. Harde bewijzen heeft Mandiant niet, maar het schat dat APT1 over meer dan 1.000 servers beschikt. Om te laten zien dat de aanvallen door echte personen worden uitgevoerd, bracht het bedrijf drie individuen in kaart die met APT1-activiteiten geassocieerd worden.

IP-adressen
In totaal publiceerde het bedrijf meer dan 3.000 aanwijzingen die bedrijven kunnen gebruiken om infecties te detecteren of het eigen netwerk te beschermen. Het gaat dan om domeinnamen, IP-adressen, MD5-hashes van malware en X.509-certificaten die de aanvallers gebruikten. Mandiant zegt dat het de informatie besloot te openbaren om het algemeen belang te dienen en aan te tonen dat die vanuit China plaatsvinden.

China
In het rapport is het beveiligingsbedrijf aan de andere kant voorzichtig in de bewoording over wie er achter de aanvallen zit. Zo staat er letterlijk dat APT1 "waarschijnlijk" een door de overheid gesponsorde aanval is en één van China's meest persistente 'cyber threat actors' is. Mandiant denkt dat APT1 zolang actief heeft kunnen zijn omdat het direct door de overheid gesteund wordt, maar keihard bewijs ontbreekt.

Verder concludeert de beveiliger dat in een land waar de Staat al het internetverkeer monitort het 'zeer onwaarschijnlijk' is dat de Chinese overheid niet van een groep weet die zoveel aanvallen uitvoert in een gebied waar ook een Chinese legereenheid actief is.

Vervolgens maakt Mandiant een overzicht met vergelijkingen tussen APT1 en Unit 61398. Aan de hand daarvan concludeert de beveiliger dat er of een geheime organisatie actief is die hetzelfde doet als Unit 61398, of dat APT1 Unit 61398 is.

Ook maakte de beveiliger onderstaande video waarop live beelden van de activiteiten van APT1 te zien zijn.