Kinas kyberspioner er bedre enn USAs

Det går fram av Wikileaks-dokumenter og av uttalelser fra amerikanske eksperter.

I påsken publiserte nyhetsbyrået Reuters en spesialrapport om kinesisk kyberspionasje, basert på hittil ukjente dokumenter fra Wikileaks og på intervjuer med anerkjente eksperter, som forskningsdirektør Alan Paller i SANS Institute.

Konklusjonen i rapporten er at Kina og USA driver stadig mer kyberspionasje mot hverandre, og at Kina ser ut til å ha et visst overtak.

Amerikanske instanser har gjentatte ganger de siste årene framhevet Kinas stadig økende evner innen kyberkrig og kyberspionasje, samtidig som de har avholdt seg fra å knytte konkrete hendelser til bestemte kinesiske organer eller grupper.

    Les også:

Det nye i rapporten til Reuters er at den viser til Wikileaks for å dokumentere hvordan amerikansk etterretning har sporet datainnbrudd til en bestemt avdeling i den kinesiske hæren.

Gjennom tredjepart har Reuters fått tak i hemmelige meldinger til USAs utenriksdepartement. I meldingene kalles datainnbruddene for «Byzantine Hades». De stammer fra utenriksdepartementets avdeling for analyse av kybertrusler («Cyber Threat Analysis Division»). Den som identifiserer en bestemt avdeling i folkehæren som opphav, er datert april 2009, og viser til innbrudd gjort i 2006. Avdelingens navn er gjengitt som «People's Liberation Army Chengdu Province First Technical Reconnaissance Bureau (TRB)».

Betegnelsen «technical reconnaissance bureau» brukes i 2009-rapporten til US-China Economic and Security Review Commission (se artikkelen Kinas kyberspioner tapper USA for milliarder) der det forklares at slike sannsynligvis er etablert i hver av Kinas syv militære regioner.

Wikileaks-dokumentet knytter et navn, Chen Xingpeng, til datainnbruddene fra 2006. Reuters skriver at det ikke har lykkes dem å spore opp mer om hvem denne personen er.

De amerikanske ekspertene Reuters har snakket med, peker på at tallet på datainnbrudd rapportert til US CERT økte fra 5.503 i budsjettåret 2005–2006 til 41.776 i budsjettåret 2009–2010. Disse rapportene omfatter utelukkende innbrudd mot nettverk knyttet til den amerikanske forvaltningen. Tilsvarende tall for innbrudd mot kommersiell virksomhet foreligger ikke.

En tidligere sjef for amerikansk kontraspionasje, Joel Brenner, sier til Reuters at «Aurora»-angrepet i januar i fjor mot Google og minst 33 andre selskaper, i virkeligheten rammet mange tusen amerikanske bedrifter. Brenner mener dette gjenspeiler «tung kinesisk statlig spionasje mot økonomiske mål». Sikkerhetsfolk sier det er typisk at amerikanske teknologibedrifter som kommer i kontakt med kinesiske bedrifter, enten som partnere eller som konkurrenter, nærmest umiddelbart merker en voldsom økning i forsøk på datainnbrudd mot dem.

De kinesiske innbruddsforsøkene bygger på en framgangsmåte kjent som «spear-phishing». «Phishing» viser til forsøk på å lure en mottaker til å klikke på et infisert vedlegg. «Spear-phishing» innebærer at e-posten og vedlegget er utformet med tanke på å få én bestemt person, eller i høyden en liten gruppe personer, til å la seg infisere av ondsinnet kode i vedlegget.

Dette belegges dels gjennom en melding fra amerikansk UD som Wikileaks publiserte i desember, der det ble redegjort for angrep som blant annet forsøkte å installere bakdører og tastetrykkloggere med tanke på å fange opp følsomme opplysninger og overføre dokumenter.

Meldingene om «Byzantine Hades» redegjør for svært avansert – polymorfisk – ondsinnet kode knyttet til målrettet phishing.

En av dem, fra mars 2009, identifiserer Yinan Peng som en spesielt kompetent kinesisk statslønnet kyberspion, og påstår at han står sentralt i en hackerbande kalt «Javaphile». Vedkommende har ikke besvart gjentatte henvendelser per e-post, skriver Reuters.

Reuters viser til et spesielt tankevekkende tilfelle av «spear-phishing», rettet mot talsperson Andrew Schwartz i det kjente Center for Strategic and International Studies 1. mars i år. Meldingen kom fra en adresse knyttet til AFGIMail, et nettverk for velferdsordninger i det amerikanske militære. Vedlagt var et Excel-dokument kalt «Titan Global Invitation List». En ekspertanalyse av regnearket viser at det infiserte pc-en med ondsinnet kode som leter opp dokumenter og etablerer kontakt med et nettselskap i California med forgreninger til Kina.

    Les også:

Til toppen