Специалисты по защите компьютерных систем из американской компании Mandiant осуществили контрразведку китайских подразделений компьютерного шпионажа. Результаты разведывательной работы опубликованы в 60-страничном отчёте “APT1: Exposing One of China's Cyber Espionage Units” (PDF). К отчёту прилагается файл (ZIP) с 3000 дополнительными уликами, как то IP-адреса, сертификаты X.509, хэши MD5 вредоносных программ, упомянутых в отчёте, описание используемых китайцами инструментов и так далее. Нужно признать, сотрудники Mandiant проделали отличную работу.
Китайские хакеры доставили немало хлопот в последние годы клиентам Mandiant, поэтому заслужили внимательного отношения к себе, тем более что компания Mandiant основана выходцами из американской армии, поэтому у них особенное отношение к китайским солдатам. Термин «солдаты» упомянут неслучайно. Одним из результатов исследования стало местонахождение штаба китайских хакеров: P.L.A. Unit 61398, то есть подразделения 61398 Народно-освободительной армии Китая. Это подразделение занимается компьютерным шпионажем и диверсиями, преимущественно, в англоязычных странах.
«Бойцы» Китайской освободительной армии работают в 12-этажном здании.
Исследование подтвердило, что хакерская группа APT1, вероятно, действует при поддержке правительства, за время наблюдения APT1 систематически воровали информацию с корпоративных серверов 141 организации, всего были украдены сотни терабайтов файлов. В 97% из 1905 зарегистрированных случаях атак хакеры использовали шанхайские IP-адреса и компьютеры с системной раскладкой Simplified Chinese. Размер хакерской организации APT1 предполагает десятки или сотни участников. Специалистам Mandiant удалось установить личности трёх из них. Было замечено несколько случаев, когда китайские хакеры логинились в свои аккаунты Facebook и Twitter, что невозможно сделать внутри китайского файрвола, и это облегчило установление личностей.
