ANALYSER

Kina fortsetter kyberspionasjen

Tankevekkende observasjoner i ny rapport fra Mandiant.

Den kinesiske militære hackergruppen APT1 hadde et betydelig lavere aktivitetsnivå etter avsløringene i februar i fjor enn i årene før.
Den kinesiske militære hackergruppen APT1 hadde et betydelig lavere aktivitetsnivå etter avsløringene i februar i fjor enn i årene før. Bilde: Mandiant
11. apr. 2014 - 14:53

I februar i fjor publiserte det amerikanske IT-sikkerhetsselskapet Mandiant en rapport om globale IT-trusler der de dokumenterte at kinesiske militære medvirker til kyberspionasje. Spionasjen retter seg mot andre land og mot bedrifter. Mandiant pekte ut en høyblokk i Shanghai som de mente huser en av verdens mest avanserte avdelinger for kyberkrigføring og spionasje.

    Les også:

I årets trusselrapport fra Mandiant granskes den militære hackergruppens virksomhet i tiden etter at de ble avslørt. Mandiant ser også på virksomheten til en annen kinesisk hackergruppe som ble tatt på fersken i nettverket til New York Times og avslørt i deres spalter 30. januar.

I Mandiants siste rapport kalles den militære gruppen de avslørte for APT1 («advanced persistent threat»), mens den New York Times avdekket kalles APT12.

Her påvises det at både APT1 og APT12 begge reduserte sin virksomhet etter avsløringene, APT1 i større grad enn APT12. Dette visualiseres i grafen øverst i denne artikkelen: Den røde linjen er aktivitet i 2013, den blå er gjennomsnittet av aktiviteten på tilsvarende datoer årene før.

I dette bygget i Shanghai holder APT1 til, ifølge Mandiant. <i>Bilde: Mandiants rapport «APT1 Exposing One of China&#039;s Cyber Espionage Units</i>
I dette bygget i Shanghai holder APT1 til, ifølge Mandiant. Bilde: Mandiants rapport «APT1 Exposing One of China's Cyber Espionage Units

En annen endring er at APT1 endret IP-adressene knyttet til skadevaren de brukte. Mandiant illustrerer dette slik:

 <i>Bilde: Mandiant</i>
Bilde: Mandiant

APT1 sluttet med andre ord å bruke sine etablerte IP-adresser straks Mandiant-rapporten var publisert. Det tok dem noen uker før skadevaren fikk ny infrastruktur å forholde seg til.

Tilsvarende endringer ble observert for APT12, selv om New York Times ikke publiserte IP-adressene knyttet til denne gruppens skadevare.

Washington Post har innhentet uavhengige eksperters vurdering av den nye Mandiant-rapporten.

Disse er enige med Mandiant i to hovedkonklusjoner: For det første at kinesiske myndigheter er følsomme for vestlige avsløringer om kyberspionasje. De sørger for at virksomheten trappes ned og legges delvis om i perioder på opptil flere måneder, selv om de utad blånekter for at de overhodet driver med kyberspionasje.

Den andre hovedkonklusjonen er at siden kyberspionasjen tas opp igjen, er gevinsten så stor at den berettiger risikoen den medfører for en alvorlig forverring av forholdet til USA og andre vestlige land.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra