I februar i fjor publiserte det amerikanske IT-sikkerhetsselskapet Mandiant en rapport om globale IT-trusler der de dokumenterte at kinesiske militære medvirker til kyberspionasje. Spionasjen retter seg mot andre land og mot bedrifter. Mandiant pekte ut en høyblokk i Shanghai som de mente huser en av verdens mest avanserte avdelinger for kyberkrigføring og spionasje.
Les også:
- [06.10.2014] FBI anklager Kina for massiv hacking
- [11.08.2014] Kina avviser at Apple er svartelistet
- [07.08.2014] – Forbyr innkjøp av iPad og Macbook
- [04.08.2014] Nei til utenlandsk antivirus
- [27.05.2014] Kina ber bankene fjerne IBM-servere
- [20.05.2014] Kina avfeier anklager om hacking
- [19.05.2014] – USA anklager kinesere for militær hacking
- [26.03.2013] Forskere samarbeidet med kyberkrigere
- [22.02.2013] – Her er bevis på militær hacking
- [20.02.2013] – Det er Kina som er kyberofferet
- [20.02.2013] Anholdt ved påstått hacker-rede
- [19.02.2013] Sporet kyberangrep til Kina-bygning
I årets trusselrapport fra Mandiant granskes den militære hackergruppens virksomhet i tiden etter at de ble avslørt. Mandiant ser også på virksomheten til en annen kinesisk hackergruppe som ble tatt på fersken i nettverket til New York Times og avslørt i deres spalter 30. januar.
I Mandiants siste rapport kalles den militære gruppen de avslørte for APT1 («advanced persistent threat»), mens den New York Times avdekket kalles APT12.
Her påvises det at både APT1 og APT12 begge reduserte sin virksomhet etter avsløringene, APT1 i større grad enn APT12. Dette visualiseres i grafen øverst i denne artikkelen: Den røde linjen er aktivitet i 2013, den blå er gjennomsnittet av aktiviteten på tilsvarende datoer årene før.
En annen endring er at APT1 endret IP-adressene knyttet til skadevaren de brukte. Mandiant illustrerer dette slik:
APT1 sluttet med andre ord å bruke sine etablerte IP-adresser straks Mandiant-rapporten var publisert. Det tok dem noen uker før skadevaren fikk ny infrastruktur å forholde seg til.
Tilsvarende endringer ble observert for APT12, selv om New York Times ikke publiserte IP-adressene knyttet til denne gruppens skadevare.
Washington Post har innhentet uavhengige eksperters vurdering av den nye Mandiant-rapporten.
Disse er enige med Mandiant i to hovedkonklusjoner: For det første at kinesiske myndigheter er følsomme for vestlige avsløringer om kyberspionasje. De sørger for at virksomheten trappes ned og legges delvis om i perioder på opptil flere måneder, selv om de utad blånekter for at de overhodet driver med kyberspionasje.
Den andre hovedkonklusjonen er at siden kyberspionasjen tas opp igjen, er gevinsten så stor at den berettiger risikoen den medfører for en alvorlig forverring av forholdet til USA og andre vestlige land.