Tajna chińska jednostka rozpracowana! Serio?

Wszystkie serwisy zajmujące się bezpieczeństwem oraz większość amerykańskich mediów rozwodzi się dziś nad pewnym raportem opublikowanym przez firmę Mandiant. Obszerne opracowanie APT1: Exposing One of China’s Cyber Espionage Units ma rzekomo dowodzić zaangażowania chińskiego rządu i wojska w setki cyberataków na amerykańskie firmy i organizacje rządowe. Jednak nawet pobieżna analiza raportu skłania do zupełnie innych wniosków.

„New York Times”, który sam niedawno został przez Chińczyków zhackowany, opublikował na podstawie raportu przydługawą historię, a w telewizji CNN pojawił się w tej sprawie sam David Kennedy, znany również jako Rel1k.

Cóż zatem tak bardzo interesującego zawiera sam raport? Już pobieżna analiza rozczarowuje i każe zastanowić się nad jego prawdziwym przeznaczeniem. Opisane ataki pod względem technicznym są bardzo typowe. Spear Phishing oraz infekcja backdoorem, który nawiązuje komunikację z serwerem C2. Następnie eskalacja uprawnień (np. poprzez wykradanie poświadczeń) oraz uzyskiwanie dostępów do innych zasobów w sieci ofiary i jak najdłuższe utrzymanie dostępu. Z pewnością można więc stwierdzić, że z raportu nie dowiemy się niczego nowego o atakach internetowych.

Cały raport zdaje się jednak przede wszystkim usilnie udowodnić postawioną już w samym tytule tezę, że za wszystkimi przypadkami przeanalizowanych ataków stoi enigmatyczna chińska jednostka wojskowa 61398. Spójrzmy tylko na wyciąg z tabeli sumującej wszystkie zebrane „dowody” w postaci porównania charakterystyk jednostki 61398 oraz grupy APT1.

Czy więc chińska armia angażuje się w nieetyczne przedsięwzięcia informatyczne? Prawdopodobnie tak, ale to wiemy i bez raportu firmy Mandiant.

A czy waszym zdaniem tego typu analiza porównawcza jest wystarczającym dowodem na to, że APT1 rzeczywiście działa na zlecenie chińskiego wojska? Czy może jednak cel samego raportu był zupełnie inny?

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)