Shanghai Group serait l'unité 61398
Selon la société Mandiant, l'hypothèse la plus probable est que le groupe de cyber-espions appelé APT1 ou Shanghai Group est l'Unité 61398 de l'Armée Chinoise28 :
- de par l'envergure de ces opérations de cyber-espionnage, seul un État est capable de mobiliser autant de moyens financiers, humains et matériels sur une aussi longue période ;
- les compétences techniques et linguistiques requises pour mener à bien ces missions sont similaires aux compétences recrutées par le 3e département de l'état-major général de l'armée chinoise, et en particulier l'Unité 61398 (qui serait spécialisée sur les États-Unis et le Canada) ;
- les schémas tactiques, méthodes et procédures sont appliquées avec rigueur par les cyber-espions, comme le feraient des militaires : Mandiant n'a identifié aucune destruction de données ou escroquerie financière dans les organisations victimes, ce qui contraste nettement les hackers ou le crime organisé ;
- l'analyse des secteurs d'activités des 141 organisations espionnées démontre une nette corrélation avec les objectifs stratégiques du douzième plan quinquennal Chinois (2011-2015) en termes de secteurs économiques à développer ;
- la majeure partie des informations recueillies (adresses IP, coordonnées utilisées, localisation de certains cyber-espions, systèmes développés et utilisés en chinois) durant ces 7 années converge vers la même localisation, c'est-à-dire Shanghai.
Partie immergée de l'iceberg du cyber-espionnage économique chinois
Plusieurs pays sont réputés disposer de capacités de cyber-espionnage : en premier lieu, les États-Unis, mais aussi la Russie, Israël ou la France29. Néanmoins, de par le volume considérable de données sensibles volées et le nombre d'organisations victimes recensées, l'unité 61398 pourrait n'être que la "partie émergée de l'iceberg" d'une des plus vastes opérations d'espionnage économique et industrielle de l'histoire3.
L'unité 61398 n'est que l'un des plus de 20 groupes de cyberattaques avec des origines en Chine, explique Mandiant. Mais l’avis d’acte d'accusation aux États-Unis identifie un bâtiment non descriptif sur Datong Road dans le district de Pudong de Shanghai comme l'un des emplacements des prétendus activités de cyber-espionnage de l'unité 61398.Lieu de travail de cyberspie: Mandiant dit avoir retracé des dizaines de cyberattaques sur les sociétés de défense et d'infrastructure américaines dans un quartier du district de Pudong de Shanghai qui comprend le bâtiment de 12 étages où l'unité 61398 est connue pour être hébergée. L'immeuble a des bureaux pour jusqu'à 2 000 personnes.
Accusations réfutées par les autorités chinoises
Le gouvernement Chinois a vigoureusement réfuté être à l'origine de ces activités de cyber-espionnage :
- le jour même de la publication du rapport par la société, le 18 février 2013, le ministère chinois des Affaires étrangères a déclaré que les allégations étaient « irresponsables et non professionnelles » et a rappelé que « la Chine s'oppose fermement aux actions de piratage et a établi des lois et règlements et pris des mesures policières strictes pour se défendre contre les activités de piratage en ligne30 » ;
- le 20 février 2013, le ministère chinois de la Défense nationale a indiqué que les allégations portées par la société sont « dans les faits, sans fondement31 ».
Néanmoins le gouvernement chinois n'a pas démenti l'existence de cette unité, tandis que les photos et vidéos du building censé être son quartier général ont été reprises par de nombreux médias32.
Les principales conclusions du rapport de Mandiant sont répertoriées comme suit:
L'APT1 serait le 2e bureau du 3e département du département général de l'armée de libération de la libération qui est le plus communément connu de l'unité 61398
La nature des travaux de l’unité 61398 est considérée par la Chine comme un secret d’État; Cependant, nous pensons qu'il s'engage dans des «opérations de réseau informatique» nocives.
L'unité 61398 est partiellement située sur Datong Road à Gaoqiaozhen, qui est située dans le Pudong.
L'unité 61398 est dotée de centaines, et peut-être des milliers de personnes en fonction de la taille de l'infrastructure physique de l'unité 61398.
China Telecom a fourni des infrastructures de communication en fibre optique spéciales pour l'unité au nom de la défense nationale.
L'unité 61398 exige que son personnel soit formé aux opérations de sécurité informatique et de réseau informatique et exige également que son personnel soit compétent en anglais.
Mandiant a retracé l'activité de l'APT1 à quatre grands réseaux à Shanghai, dont deux desservent la nouvelle zone de Pudong où l'unité 61398 est basée.
APT1 a systématiquement volé des centaines de téraoctets de données d'au moins 141 organisations, et a démontré la capacité et l'intention de voler simultanément des dizaines d'organisations.
Depuis 2006, Mandiant a observé que les entreprises compromises à l'APT1 s'étalant sur 20 grandes industries.
APT1 a une méthodologie d'attaque bien définie, perfectionnée au fil des ans et conçue pour voler de grands volumes de précieuses propriété intellectuelle.
Une fois que l'APT1 a établi un accès, ils revisitent périodiquement le réseau de la victime sur plusieurs mois ou années et volent de larges catégories de propriété intellectuelle, y compris les plans technologiques, les processus de fabrication propriétaires, les résultats des tests, les plans d'affaires, les documents de prix, les accords de partenariat et les e-mails et les listes de contacts de la direction des organisations victimes.
REF.: https://fr.wikipedia.org/wiki/Unit%C3%A9_61398
https://resources.infosecinstitute.com/topic/unit-61398-chinese-cyber-espionage-and-the-advanced-persistent-threat/
