Одной из самых больших проблем трех разведслужб является определение намерений злоумышленников. Это не всегда возможно, но если нам придется столкнуться с такой проблемой, полезно понять контекст атак и организацию, в которой они действуют. В следующих постах мы будем иметь дело с одним из основных игроков на кибер-сцене — Китаем — и организационным аппаратом, ответственным за разведывательные операции и получение информации для лиц, принимающих решения. Несмотря на то, что Китай часто упоминается в качестве одной из ниток с Россией или Северной Кореей, отдельные китайские правительственные учреждения, ответственные за разведывательную деятельность, в том числе кибероперации, определенно не так хорошо известны как российские ГРУ. Это не должно быть особым сюрпризом. Лингвистические и культурные барьеры, а также затрудненный доступ к информации, связанной с цензурой, введенной властями Пекина, делают планку, стоящую перед аналитиками, намного выше. Поэтому, начиная с НОАК, я постараюсь сблизить различные организации и их роль в экосистеме киберопераций. В более широком контексте на сцене у нас будет три основных актера:
- PLA (Народно-освободительная армия, Zhōngguó Rénmín Jiěfàngjūn, 中国人大.) — Народно-освободительная армия или китайские вооруженные силы. Хотя в различных отчетах три разведывательные группы иногда содержат заявления, такие как «НОАК, ответственная за эту операцию», это, очевидно, гигантское обобщение, сравнимое с утверждением, что за действия отвечают Вооруженные силы США или польская армия. На практике мы будем говорить о разных ветвях. Стратегические силы поддержки Народно-освободительная армия (SSF - Стратегические силы поддержки, Zhōngguó Rénmín Jiěfàngjūn Zhànlüè Zhīyuán Bùduì), потому что именно там мы найдем Департамент сетевых систем, отвечающий за кибердеятельность.
- MSS (Ministry of State Security, Gujiā Ánquán Bù, 国.) — Министерство государственной безопасности или китайские иностранные разведывательные службы. Поэтому главное разведывательное агентство Китая не удивится, увидев, что сегодня оно также работает в киберпространстве. Стоит отметить, что министерство не ограничивается зарубежной деятельностью, а также выполняет функции тайной полиции - оно имеет полномочия арестовывать и задерживать лиц, а также органы полиции. Однако мы будем заниматься внешними аспектами деятельности и многочисленными активными группами под этим зонтиком, включая случаи промышленного шпионажа и классической политической разведки. MSS также состоит из многих местных отделений и организационных подразделений. США поручили деятельность, связанную с APT10, Управлению государственной безопасности Тяньцзиня..
- MPS (Ministry of Public Security, Gōng’ānbù, 国.) — Министерство общественной безопасности, то есть Управление внутренней разведки Китая. Теоретически это полицейское ведомство, но его основные задачи сосредоточены на контрразведке и контрразведке. Обеспечение политической безопасности. Мы поговорим о MPS под углом. Влияние политикибольше, чем отдельные организации.
Говоря о кибер-анализе операций НОАК, мы должны вернуться к 2013 году, когда Mandiant опубликовал отчет. APT1: разоблачение одного из подразделений кибершпионажа Китая. Это был первый публичный отчет частной компании, описывающий шпионскую деятельность НОАК против целей по всему миру, в основном в Соединенных Штатах и Западной Европе. Мандиант относил эту деятельность к филиалу 61398, действовавшему в составе Третьего отдела Генерального штаба НОАК. Эта довольно сложная взаимосвязь иллюстрируется графикой:
Когда дело доходит до большей части самого числа, это так называемый MUCD (Military Unit Cover Designer), используемый для идентификации человека, но не предающий область действия в имени. В этот момент внимательный читатель справедливо спрашивает, где упомянутые ранее Силы стратегического обеспечения. Реорганизация НОАК, в которой этот компонент был создан только в 2015 годуВ декабре 2015 года SSF начала свою деятельность. На следующей диаграмме показано, как реформа повлияла на организацию отдельных компонентов, которые были разделены на новый компонент:
Источник: https://manent.fdlp.gov/gpo119167/china-perspectives_13.pdfТаким образом, как мы видим, Третий отдел, в котором действуют подразделения, отвечающие за техническую разведку, передан под юрисдикцию SSF и, таким образом, сейчас там работает филиал 61389. Конечно, если подразделение останется в рабочем состоянии без изменений со времени доклада Мандианта. Как уже упоминалось, мы будем больше всего заинтересованы в Департаменте сетевых систем, также иногда известном как киберсилы. Однако, несмотря на свое название, сфера деятельности Департамента шире, чем просто сетевые операции, а также включает психологические операции и радиоэлектронную борьбу. Реорганизация привела к значительной централизации ресурсов. В предыдущей модели 12 отделений технической разведки Департамента Трое из них отвечали за разведывательные операции.CNA, с другой стороны, руководил четвертым департаментом и оборонной деятельностью Департамента информации Генерального штаба. Теперь под крылья SSF попали и CNE, и CNA, сосредоточив там наступательные возможности. Защитные миссии оставались под управлением предыдущих организационных структур в недавно созданном информационно-коммуникационном управлении Бюро информации и связи Объединенного штаба.
Место SSF в структуре НОАК и в отношении указанного Третьего департамента представляет следующую диаграмму:
Источник: https://cyberdefensereview.army.mil/Portals/6/Documents/CDR%20Journal%20Articles/The%20Strategic%20Support%20Force_Kania_Costello.pdf?ver=2018-07-31-093713-580 SSF должен сыграть ключевую роль в обеспечении НОАК информационного доминирования на поле боя. Эта концепция вписывается в китайское понимание поля боя, в котором достижение господства в трех областях — воздухе, космосе и информации — обеспечивает победу. В контексте прямой поддержки со стороны вооруженных сил предполагается, что информационное преимущество переводится в выигрыши во времени и пространстве в области боя. С информацией о намерениях и действиях противника она может быть отложена в ключевые моменты, остановлена его планами или ограничена его возможностями проецирования силы, обеспечивая достижение стратегических целей Китая. В контексте роли SSF в структуре НОАК также стоит отметить, что второй основной областью формирования является пространство. Китайская доктрина, похоже, объединяет кибер- и космологические области, потому что обе области основаны на спектре электромагнитных волн в качестве среды для передачи информации. Это может быть связано с тем, что в самом драматическом сценарии вторжения в Китай противник точного оружия большой дальности будет использовать космическую инфраструктуру и информационные технологии, чтобы сделать доминирование в этой сфере самоцелью. Дополнительную информацию о роли киберопераций в китайской военной доктрине регулярно предоставляет Национальный оборонный университет НОАК «Наука военной стратегии». В издании 2020 года Мы найдем основу конфликта в киберпространстве, включая заявления о том, что победа в войне начинается с победы в этой области. Авторы подчеркивают ключевую роль коммуникационных и информационных систем как центра боевых действий. Интересным примером является также Ирак, который, как утверждается, так быстро уступил американским войскам, поскольку контроль над киберпространством позволил парализовать правительственные и военные функции и, таким образом, снизить моральный дух. Кроме того, мы также найдем мысли о интерфейсе между кибер- и космическими доменами. Как я указывал ранее, китайские доктрины рассматривают обе эти области как очень тесно связанные с использованием электромагнитного спектра. Он также указывает на необходимость интеграции операций, с тем чтобы кибер- и космическая деятельность согласовывалась со стратегическими и политическими целями в конфликтных ситуациях.
Поскольку речь идет о кибер-операциях, которые имеют свою специфику, даже при необходимости поддержания доступа к затронутым средам, также стоит отметить акцент наВзаимосвязь между операциями в пользу мира и войны. Эта концепция является одной из причин реформы в целом – до изменений в НОАК он опасался, что в случае конфликта произойдет изменение функционирования вооруженных сил от скорректированного по времени отношения к готовому к войне. Это было связано с тем, что в предыдущей модели для формирования Группы информационных операций необходимо было обеспечить широкую координацию подразделений и войск, разбросанных по различным видам вооруженных сил и правительственных учреждений и по различным организационным структурам. Создание СФС упростило этот процесс за счет организации соответствующих подразделений оперативной группы как шаблона действий по умолчанию. Таким образом, кибероперации, требующие подготовки, такие как разведка или разработка векторов доступа к враждебным системам, могут быть легко проведены, а в случае вооруженного конфликта войска могут плавно переходить к последовательным этапам атаки, таким как использование уязвимости и установка.
Важным элементом функционирования СФС является вовлечение в концепцию военно-гражданского слияния (ВСС, военно-гражданское слияние, ).大).). MCF предполагает более тесное сотрудничество между частным и государственным секторами в проведении исследований и внедрении технологий, которые могли бы принести пользу китайской обороне. Это многомерный проект, состоящий, среди прочего, из Дерегулирование оборонного сектора и поощрение развития технологий двойного назначенияЭто поможет развить потенциал китайских вооруженных сил. В контексте SSF MCF в первую очередь предназначен для обучения персонала и набора персонала. Это не должно удивлять – проблема занятости в сфере кибербезопасности кажется географически независимой. Таким образом, SSF наладил сотрудничество с рядом учреждений, таких как China Electronics Technology Group или Китайский университет науки и технологий в области подготовки кадров и образования. Что стоит подчеркнуть, идея о том, что в условиях войны и мира очень сложно проводить отдельные операции в киберпространстве 2013 Наука военной стратегии Science of Military Strategy. Там мы тоже найдем поддержку МВФ - авторы подчеркивают, что разница между военной и гражданской сферами размывается, и во время войны оба сектора должны "нападать плечом к плечу".
Итак, какие примеры других войск НОАК, ответственных за кибероперации, были обнаружены? Один из них был на шоу раньше. Counterintelligence.pl когда я писал о вкладах и проблемах, связанных с ним. Речь шла о докладе ThreeConnect".Проект CameraShy", в котором аналитики отнесли отслеживаемую деятельность к подразделению 78020. Подразделение действовало в составе технического разведывательного управления в Кумминге и было задействовано в разведывательных операциях, связанных с ситуацией в Южно-Китайском море. В контексте киберопераций это APT-активная группа «Наикон».
Другой группой, связанной с конкретным подразделением, является Путтер Панда. Этот актер был описан в 2014 году в отчете Crowdsstrike, в котором описывалось, как деятельность группы привела к филиалу 61486, снова связанному с Третьим департаментом. На этот раз речь идет о двенадцатом техническом разведывательном управлении, базирующемся в Шанхае. Аналитики обнаружили следы групповой активности еще в 2007 году. А что касается виктимологии, то Паттер Панда атаковал оборонные, спутниковые и авиационные цели. Как и в случае с APT1, китайские военные проводили здесь операции по приобретению технологий и промышленный шпионаж.
Потому что в описаниях групп, что и передвигаются, появляется термин "техническая разведка", я должен сделать здесь оговорку. На данный момент я не нашел никакой информации о том, действительно ли все эти офисы были выведены из-под юрисдикции SSF. Это бы указывало на то, как формировалась ССФ с точки зрения решаемых задач, но, как я уже говорил, на новую составляющую переносились только наступательные операции. Строго говоря, поэтому невозможно сказать, как отделялись офисы между этими компонентами, особенно в контексте того, что в предыдущей модели каждый военный регион имел свой собственный офис, отвечающий за SIGINT и кибердеятельность. Точно так же, если мы вернёмся на какое-то время на место SSF в структуре НОАК, то она находится непосредственно под контролем Центральной военной комиссии, но у регионального штаба (театрального командования) могут быть свои WRE и кибервозможности. Взаимосвязь между командованием и властью над людьми пока не ясна.
При описании возможностей НОАК следует также уделять внимание научно-исследовательским институтам. Третий департамент курировал Управление разведки науки и техники, которое, в свою очередь, курировал три института.. Учитывая то, что мы знаем о реорганизации 2015 года, можно предположить, что они сейчас работают на SSF. Эти подразделения:
- 56 Research Institute / Institute for Computer Technology Research in Jiangnan – крупнейший и старейший научно-исследовательский центр НОАК, занимающийся исследованиями по созданию и использованию суперкомпьютеров.
- 57 Научно-исследовательский институт / Юго-Западный институт электроники и телекоммуникационных технологий - проводит исследования по захвату и обработке сигналов, а также спутниковых технологий по согласованию с Китайской академией космических технологий.
- 58 Научно-исследовательский институт / Юго-Западный институт исследований автоматизации - проведение исследований по криптологии и ИТ-безопасности.
Кроме того, Обвинение против четырех офицеров НОАК С 2020 года мы можем найти информацию о 54-м научно-исследовательском институте (Северный институт электронного оборудования), а также о подчиненной китайской армии.
Создание SSF показывает, насколько приоритетным является предоставление Китаем преимуществ в киберпространстве. НОАК получила компонент, посвященный кибердеятельности, подобный американскому Киберкоманду, хотя и с несколько иным объемом ответственности — в результате доктрины, которая тесно связывает киберпространство с космосом. Возможно, лучшим сравнением будет Stratcom. Стратегическое командование, ответственное за космическую деятельность, разведку и C4ISR. Конечно, поиск точных аналогов не имеет особого смысла. Китайская доктрина имеет свои собственные предположения, особенно в том, что касается обращения со всеми имеющимися средствами боя как с интегрированными боевыми силами, насколько это возможно. Интеграция доменов является ключевой фразой, когда мы говорим о реформе вооруженных сил в 2015 году. Подразделения, ответственные за компьютерные операции, были объединены в совместный компонент НОАК, который предназначен для обеспечения возможности интегрированных операций, плавно сочетающих функции, необходимые во время мира и войны, и сотрудничество с гражданским сектором в рамках MCF является одним из столпов идеи SSF.
Так обрисована организационная структура Народно-освободительной армии для поддержки и проведения киберопераций. Я приглашаю вас на другой пост, где мы рассмотрим бизнес. Это мрачная слава. Министерство государственной безопасности.
