Unidad PLA 61398
La unidad PLA 61398 (también conocida como APT 1 , Comment Crew , Comment Panda , GIF89a y Byzantine Candor ) ( chino : 61398部队, pinyin : 61398 bùduì ) es el designador de portada de unidad militar (MUCD) [1] de un Ejército Popular de Liberación unidad de amenaza persistente avanzada que se alega que es una fuente de ataques informáticos chinos. [2] [3] La unidad está estacionada en Pudong , Shanghai . [4]
El 19 de mayo de 2014, el Departamento de Justicia de EE. UU. anunció que un gran jurado federal había emitido una acusación formal contra cinco agentes de 61398 por cargos de robo de información comercial confidencial y propiedad intelectual de empresas comerciales estadounidenses y de plantar malware en sus computadoras. [5] [6] Los cinco son Huang Zhenyu (黄振宇), Wen Xinyu (文新宇), Sun Kailiang (孙凯亮), Gu Chunhui (顾春晖) y Wang Dong (王东). La evidencia forense rastrea la base de operaciones hasta un edificio de 12 pisos en Datong Road en un área pública de uso mixto de Pudong en Shanghái. [2] El grupo también es conocido por varios otros nombres, incluido " Amenaza persistente avanzada 1" ("APT1"), "el grupo Comentario" y "Candor bizantino", un nombre en clave dado por las agencias de inteligencia estadounidenses desde 2002. [7] [8] [9] [10]
Un informe de la empresa de seguridad informática Mandiant indicó que se cree que la Unidad 61398 del EPL opera bajo la 2.ª Oficina del Departamento del Estado Mayor General del Ejército Popular de Liberación (GSD) Tercer Departamento (总参三部二局) [1] y que hay pruebas de que contiene, o es en sí mismo, una entidad que Mandiant llama APT1 , parte de la amenaza persistente avanzada que ha atacado a una amplia gama de corporaciones y entidades gubernamentales en todo el mundo desde al menos 2006. Se describe que APT1 comprende cuatro grandes redes en Shanghái, dos de los cuales sirven a la Nueva Área de Pudong. Es uno de los más de 20 grupos APT con orígenes en China. [1] [11] La Tercera ySe cree que el Cuarto Departamento , responsable de la guerra electrónica , comprende las unidades del ELP principalmente responsables de infiltrarse y manipular redes informáticas. [12]
El grupo a menudo compromete las funciones de "comentario" del software interno en páginas web legítimas para infiltrarse en las computadoras de destino que acceden a los sitios, lo que lleva a ser conocido como "Comment Crew" o "Comment Group". [13] [14] El colectivo ha robado secretos comerciales y otra información confidencial de numerosas empresas y organizaciones extranjeras en el transcurso de siete años, como Lockheed Martin , Telvent y otras empresas de transporte marítimo, aeronáutica, armas, energía, fabricación, sectores de ingeniería, electrónica, finanzas y software. [8]
Dell SecureWorks dice que cree que el grupo incluye al mismo grupo de atacantes detrás de Operation Shady RAT , una extensa campaña de espionaje informático descubierta en 2011 en la que participaron más de 70 organizaciones durante un período de cinco años, incluidas las Naciones Unidas, agencias gubernamentales en los Estados Unidos. , Canadá, Corea del Sur , Taiwán y Vietnam, fueron atacados. [2]
Los ataques documentados en el verano de 2011 representan un fragmento de los ataques del grupo Comment, que se remontan al menos a 2002, según informes de incidentes e investigadores. Solo FireEye, Inc. ha rastreado cientos de objetivos en los últimos tres años y estima que el grupo ha atacado a más de 1000 organizaciones. [9]
