Het Amerikaanse securitybedrijf Mandiant heeft een bron van cyberaanvallen uit China teruggevoerd tot een legereenheid in Shanghai, volgens een eigen rapport. Ook in België werd een server gesignaleerd.
Onder de codenaam ‘APT1’ heeft het Amerikaanse securitybedrijf Mandiant volgens een eigen rapport – ‘APT1, Exposing one of China’s Cyber Espionage Units‘ – in de voorbije jaren de spionageactiviteiten van een Chinese legereenheid bestudeerd. Volgens Mandiant zou de PLA unit 61398 (People’s Liberation Army unit) uit Shanghai sinds 2006 in 141 bedrijven uit een 20-tal industrieën zoals ict en lucht- en ruimtevaart, (minstens) honderden Terabytes aan data hebben gestolen en dat gedurende langere perioden (tot vier jaar en 10 maanden in een enkel bedrijf). Volgens Mandiant beschikt deze eenheid over meer dan 1.000 servers en meer dan 2.000 ict-specialisten en taalexperten (met voortreffelijke kennis van Engels), naast andere ondersteunende diensten om de cyberspionage uit te voeren. De eenheid zou dan ook ressorteren onder het derde departement van de PLA Generale Staf, die onder meer het equivalent van het NSA en andere informatiediensten van de Amerikaanse defensie zou vormen. Volgens Mandiant zou het hoofdgebouw van de eenheid zich in een militaire vestiging op Datong Road in Gaoqiaozhen (Pudong New Area, bij Shanghai) bevinden, in een gebouw met 12 verdiepingen.
In het rapport staat dat ‘APT1’ over haast duizend command en controle servers beschikt, op meer dan 800 ip-adressen in 13 landen. Naast koplopers China (709 servers) en de VSA (109 servers), bevinden zich ook vier servers in Europa,… waaronder één in België.
Ondertussen heeft de Chinese overheid al gereageerd, bij monde van een woordvoerder van het ministerie van buitenlandse zaken. Daarin worden de beschuldigingen van Mandiant afgewezen als ongegrond, waarbij wordt gewezen op de anonieme en transnationale aard van cyberaanvallen, zodat het de bevindingen van Mandiant aan geloofwaardigheid ontbreekt. Voorts werd opgemerkt dat China zelf ook bloot staat aan aanvallen, die allicht door andere landen (waaronder allicht de VSA) worden uitgevoerd.
Duidelijk is wel dat in de voorbije jaren de inspanningen inzake ‘cyberwar’ door de overheden van verschillende landen werden opgevoerd, met onder meer duidelijke aankondigingen dat men meer in dergelijke cybercapaciteiten gaat investeren (zoals het Amerikaanse DARPA al in 2011 meldde). Anderzijds blijft het ook wel gissen op welke schaal een en ander (al) een echte cyberoorlog betreft. Wel maakt onder meer de VS zich zorgen dat dergelijke wapens allicht kunnen worden ingezet tegen de VS door landen die niet over voldoende slagkracht in meer klassieke legeronderdelen beschikken.
