PLA na cyber froncie – chińskie siły zbrojne i operacje cyber

counterintelligence.pl 2 lat temu

Jednym z największych wyzwań threat intelligence jest ustalenie intencji atakujących. Nie zawsze jest to choćby możliwe, o ile jednak musimy się zmierzyć z takim wyzwaniem, to pomocne jest zrozumienie kontekstu działania atakujących i organizacji w jakiej operują. W kolejnych postach zajmiemy się więc jednym z głównych graczy na scenie cyber – Chinami – i aparatem organizacyjnym odpowiedzialnym za operacje wywiadowcze i pozyskiwanie informacji dla decydentów. Pomimo, iż kraj ten często wymieniany jest jednym ciągiem z Rosją czy Koreą Północną to poszczególne chińskie agencje rządowe odpowiedzialne za działania wywiadowcze, a w tym operacje cyber, zdecydowanie nie są znane tak dobrze jak choćby rosyjskie GRU. Nie powinno być to szczególnym zaskoczeniem. Bariera językowa i kulturalna, a także utrudniony dostęp do informacji związany z cenzurą nakładaną przez władze w Pekinie, sprawiają, iż poprzeczka stojąca przed analitykami ustawiona jest dużo wyżej. Dlatego też, zaczynając od PLA postaram się przybliżyć poszczególne organizacje i ich rolę w ekosystemie operacji cyber. W szerszym kontekście na scenie będziemy mieć trzech głównych aktorów:

  1. PLA (People’s Liberation Army, Zhōngguó Rénmín Jiěfàngjūn, 中国人民解放军) – Armia Ludowo Wyzwoleńcza czyli chińskie siły zbrojne. Pomimo, iż w różnych raportach zespoły threat intelligence zawierają czasem stwierdzenia takie jak „PLA odpowiedzialne za tę operacje” to oczywiście jest to gigantyczne uogólnienie porównywalne ze stwierdzeniem, iż za daną akcję odpowiedzialne są Siły Zbrojne Stanów Zjednoczonych albo Wojsko Polskie. W praktyce będziemy mówić o poszczególnych oddziałach Sił Wsparcia Strategicznego Armii Ludowo Wyzwoleńczej (SSF – Strategic Support Force, Zhōngguó Rénmín Jiěfàngjūn Zhànlüè Zhīyuán Bùduì, 中国人民解放军战略支援部队), ponieważ to właśnie tam znajdziemy Departament Systemów Sieciowych odpowiedzialny za działania cyber.
  2. MSS (Ministry of State Security, Guójiā Ānquán Bù, 国家安全部) – Ministerstwo Bezpieczeństwa Państwowego czyli chińskie służby wywiady zagranicznego. Główna agencja wywiadowcza Chin nie będzie więc żadnym zaskoczeniem, iż współcześnie również prowadząca działania w cyberprzestrzeni. Warto zaznaczyć, iż Ministerstwo nie jest ograniczone do działań zagranicznych i pełni również funkcje tajnej policji – posiada uprawnienia do aresztowania i zatrzymywania osób podobnie jak organy policyjne. My jednak zajmiemy się zewnętrznymi aspektami działalności i licznymi grupami aktywnymi pod tym parasolem, włączając przypadki szpiegostwa przemysłowego jak i klasycznego wywiadu politycznego. MSS oczywiście składa się również z wielu biur lokalnych i jednostek organizacyjnych – przykładowo Stany Zjednoczone przypisały aktywności powiązane z APT10 do Biura Bezpieczeństwa Państwa w Tianjin.
  3. MPS (Ministry of Public Security, Gōng’ānbù, 公安部) – Ministerstwo Bezpieczeństwa Publicznego, czyli chiński organ wywiadu wewnętrznego. Teoretycznie jest agencja o charakterze policyjnym, jednak jego główne zadania koncentrują się wokół kontrwywiadu i zapewniania bezpieczeństwa politycznego. O MPS będziemy mówić raczej pod kątem wpływu na politykę cyber niż poszczególnych organizacji.

Mówiąc o analizie cyber operacji PLA musimy najpierw cofnąć się do roku 2013 kiedy Mandiant opublikował raport APT1: Exposing One of China’s Cyber Espionage Units. Był to pierwszy publiczny raport prywatnej firmy, który opisał działania PLA z zakresu szpiegostwa przeciwko celom na całym świecie, głównie w Stanach Zjednoczonych i Europie zachodniej. Mandiant przypisał te aktywność do oddziału 61398 działającego w ramach Trzeciego Departamentu Sztabu Generalnego PLA. Te dość zawiłą relację obrazuję grafika:

Jeżeli chodzi o znacznie samej liczby, to jest to tzw. MUCD (Military Unit Cover Designator) używany aby identyfikować jednostkę jednocześnie nie zdradzając zakresu działań w nazwie. W tym miejscu uważny czytelnik słusznie zapyta gdzie Siły Wsparcia Strategicznego wspomniane wcześniej. Reorganizacja PLA w ramach której ten komponent został utworzony miała miejsce dopiero w 2015, a konkretnie w Grudniu 2015 SSF rozpoczęło działalność. Poniższy schemat pokazuje jak reforma wpłynęła na organizację poszczególnych komponentów, które zostały wydzielone do nowego komponentu:

Źródło: https://permanent.fdlp.gov/gpo119167/china-perspectives_13.pdf

Jak więc widzimy, Trzeci Department w ramach którego działają jednostki odpowiedzialne za wywiad techniczny zostały przeniesione pod jurysdykcję właśnie SSF i tym samym teraz tam właśnie działa oddział 61389. Oczywiście o ile jednostka pozostała operacyjna w niezmienionej formie od czasu raportu Mandiant. Jak wspominano, najbardziej będzie nas interesował Departament Systemów Sieciowych, znany też czasem jako siły cyber (wang jun, 网军). Pomimo swojej nazwy jednak, zakres działań Departamentu jest szerszy niż tylko operacje sieciowe i obejmuje również operacje psychologiczne i WRE (walkę radioelektroniczną). Reorganizacja przyniosła znaczną centralizację środków. W poprzednim modelu za operacje wywiadowcze odpowiedzialne było dwanaście biur rekonesansu technicznego Departamentu Trzeciego, CNA prowadził natomiast Departament Czwarty, a działania obronne Departament Informatyzacji Sztabu Generalnego. Teraz zarówno CNE jak i CNA trafiły pod skrzydła SSF, koncentrując tam zdolności ofensywne. Misje obronne pozostały pod zarządem poprzednich struktur organizacyjnych w nowo utworzonym Biurze Informacji i Komunikacji Departamentu Połączonego Sztabu (Joint Staff Department’s Information and Communications Bureau (信息通信局)).

Miejsce SSF w strukturze PLA i w stosunku do wspomnianego Trzeciego Departamentu prezentuje natomiast poniższy schemat:

Źródło: https://cyberdefensereview.army.mil/Portals/6/Documents/CDR%20Journal%20Articles/The%20Strategic%20Support%20Force_Kania_Costello.pdf?ver=2018-07-31-093713-580

SSF ma pełnić kluczową rolę w umożliwieniu PLA uzyskania dominacji informacyjnej na polu bitwy. Koncepcja ta wpisuje się w chińskie rozumienie pola walki, w którym osiągnięcie dominacji w trzech domenach – powietrza, przestrzeni, i informacji – zapewnia zwycięstwo. W kontekście bezpośredniego wsparcia sił zbrojnych przyjmuje się, iż przewaga informacyjna przekłada się na zyski w zakresie czasu i przestrzeni na polu walki. Posiadając informacje o zamiarach i działaniach przeciwnika można w kluczowych momentach opóźniać, powstrzymywać jego plany lub ograniczać możliwości projekcji siły, zapewniając realizację strategicznych celów przez Chiny. W kontekście roli SSF w strukturze PLA warto również zwrócić uwagę na to iż drugim głównym obszarem działań formacji jest przestrzeń kosmiczna. Chińska doktryna zdaję się tutaj łączyć obszary cyber i kosmosu ze względu na, iż obie dziedziny bazują na spektrum fal elektromagnetycznych jako medium transmisji informacji. Może to wynikać z faktu, iż w najbardziej dramatycznym scenariuszu inwazji na Chiny, wroga broń precyzyjna dalekiego zasięgu wykorzystywałaby właśnie infrastrukturę kosmiczną i informatyczną przez co dominacja w tej sferze musi być celem samym w sobie. Dodatkowych informacji na temat roli operacji cyber w chińskiej doktrynie wojennej dostarcza wydawane regularnie przez Narodowy Uniwersytet Obronności PLA „Science of Military Strategy”. W edycji z 2020 roku znajdziemy założenia konfliktu w cyberprzestrzeni, w tym stwierdzenia idące tak daleko jak to, iż zwycięstwo w wojnie zaczyna się od zwycięstwa w tej domenie. Autorzy podkreślają tutaj kluczową rolę systemów komunikacji i systemów informatycznych jako centrum pola walki. Co interesujące podany zostaje również przykład Iraku, który rzekomo tak gwałtownie uległ amerykańskim wojskom, gdyż kontrola cyberprzestrzeni umożliwiła paraliż funkcji rządowych i wojskowych, a przez to upadek morale. Dalej, znajdziemy również przemyślenia odnośnie styku domen cyber i kosmicznej. Jak wcześniej wskazałem, chińskie doktryny traktują oba te obszary jak bardzo blisko związane przez wykorzystanie spektrum fal elektromagnetycznych. Wskazuje się również na konieczność integracji operacji, tak aby działania cyber i kosmiczne były skoordynowane z celami strategicznymi i politycznymi w sytuacji konfliktu.

Ponieważ mówimy o operacjach cyber, które mają swoją specyfikę związaną choćby z koniecznością utrzymania dostępu do atakowanych środowisk, warto również zwrócić uwagę na nacisk na integracje pomiędzy operacjami w czasie pokoju i w czasie wojny. Koncepcja ta jest jednym z powodów reformy w ogóle – przed zmianami PLA obawiało się, iż w przypadku konfliktu zmiana funkcjonowania sił zbrojnych zmiana postawy z tej dostosowanej do funkcjonowania w czasie pokoju na przygotowaną do działań wojennych. Było to spowodowane tym, iż w poprzednim modelu musiałoby dojść do szeroko zakrojonej koordynacji departamentów i oddziałów wojskowych porozrzucanych w różnych rodzajach sił zbrojnych i agend rządowych i w różnych strukturach organizacyjnych aby sformować Grupę Operacji Informacyjnych. Stworzenie SSF uprościło ten proces poprzez organizacje odpowiednich jednostek grupy operacyjnej jak domyślny schemat działania. W ten sposób operacje cyber wymagające przecież przygotowania takiego jak rekonesans czy opracowywanie wektorów dostępu do wrogich systemów mogą być płynnie prowadzone i w przypadku konfliktu zbrojnego oddziały mogą sprawnie przechodzić do kolejnych faz ataku jak wykorzystanie podatności i instalacja.

Istotnym elementem funkcjonowania SSF jest zaangażowanie w koncepcję fuzji militarno-cywilnej (MCF, military-civil fusion, 军民融合). MCF zakłada zacieśnianie współpracy pomiędzy sektorem prywatnym i publicznym w zakresie prowadzenia badań i wdrażania technologii mogących przynosić korzyści dla obronności Chin. Jest to wielowymiarowe przedsięwzięcie składające się m.in. z deregulacji sektora obronności i zachęcania do prac nad technologiami podwójnego zastosowania, które mogą pomóc w rozwijaniu potencjału chińskich sił zbrojnych. W kontekście SSF MCF służyć ma przede wszystkim szkoleniu personelu i pozyskiwania kadr. Nie powinno to specjalnie dziwić – problem z zatrudnieniem w zakresie cyberbezpieczeństwa wydaje się niezależny od długości geograficznej. SSF nawiązało więc współpracę z szeregiem instytucji jak choćby China Electronics Technology Group czy Chiński Uniwersytet Nauki i Technologii w zakresie szkolenia i edukacji kadr. Co warte podkreślenia, idea, iż bardzo trudno rozdzielić operacje w cyberprzestrzeni w czasie wojny i pokoju pojawia się już w Science of Military Strategy z 2013 roku. Tam również znajdziemy poparcie dla MCF – autorzy podkreślają, iż różnicę pomiędzy sferą wojskową i cywilną zacierają się, a w czasie wojny oba sektory powinny „atakować ramię w ramię”.

Jakie więc przykładowe inne oddziały PLA odpowiedzialne za operacje cyber zostały wykryte? Jeden z nich już raz gościł na łamach counterintelligence.pl kiedy pisałem o atrybucji i problemach z nią związanych. Mowa tam była o raporcie ThreatConnect „Project CameraShy” w którym analityce przypisali śledzoną aktywność do oddziału 78020. Jednostka ta działała w ramach biura rekonesansu technicznego w Kumming i zajmowała się operacjami wywiadowczymi powiązanymi z sytuacją Morza Południowochińskiego. W kontekście operacji cyber jest to grupa aktywności APT „Naikon”.

Kolejną z grup powiązanych z konkretną jednostką jest Putter Panda. Ten threat actor został opisany w 2014 w raporcie Crowdstrike, w którym opisano jak aktywność grupy prowadzi do oddziału 61486 znów związanego z Trzecim Departamentem. Tym razem mowa o dwunastym biurze rekonesansu technicznego z siedzibą w Szanghaju. Analitycy odkryli ślady świadczące o aktywności grupy już w 2007 roku. A o ile chodzi o wiktymologię, Putter Panda atakowała cele związane z obronnością, technologią satelitarną i lotniczą. Podobnie jak w przypadku APT1, chińskie wojsko prowadziło tutaj operacje związane z pozyskiwaniem technologii i mające charakter szpiegostwa przemysłowego.

Ponieważ w opisach grup co i rusz pojawia się określenie „biuro rekonesansu technicznego” to muszę tutaj poczynić pewne zastrzeżenie. Na chwilę obecną nie znalazłem informacji czy faktycznie wszystkie te biura zostały wciągnięte pod jurysdykcję SSF. Wskazywałoby na to jak SSF zostało sformowane pod kątem zadań jakie ma realizować, jednak jak wspomniałem, jedynie operacje ofensywne zostały przeniesione do nowego komponentu. Ściśle rzecz ujmując nie można więc z pewnością stwierdzić jak biura zostały rozdzielone pomiędzy te komponenty, szczególnie w kontekście tego, iż w poprzednim modelu każdy z regionów wojskowych posiadał własne biuro odpowiedzialne za SIGINT i działania cyber. Tak samo, o ile wrócimy na chwilę do miejsca SSF w strukturze PLA, to podlega ono bezpośrednio pod Centralną Komisję Wojskową jednak dowództwa regionów (theater command) mogą posiadać własne zdolności WRE i cyber. Relacje pomiędzy dowodzeniem i zwierzchnictwem nad poszczególnymi jednostkami nie są więc jeszcze do końca jasne.

Opisując możliwości PLA należy też zwrócić uwagę na instytuty badawcze. Trzeci Departament nadzorował bowiem Biuro Nauki i Technologii Wywiadu, które z kolei nadzorowało trzy instytuty. Biorąc pod uwagę to co wiemy o reorganizacji z 2015, można przypuszczać, iż teraz działają one na rzecz SSF. Jednostki te to:

  • 56 Instytut Badawczy / Instytut Badania Technologii Komputerowej w Jiangnan – największe i najstarsze centrum badań i rozwoju PLA zajmujące się badaniami nad tworzeniem i zastosowaniem superkomputerów.
  • 57 Instytut Badawczy / Południowo Zachodni Instytut Technologii Elektroniki i Telekomunikacji – prowadzi badania w zakresie przechwytywania i przetwarzania sygnału, a także technologii satelitarnej w porozumieniu z Chińską Akademią Technologii Kosmicznej.
  • 58 Instytut Badawczy / Południowo Zachodni Instytut Badań nad Automatyzacją – prowadzący badania nad kryptologią i bezpieczeństwem informatycznym.

Dodatkowo w akcie oskarżenia przeciwko czterem oficerom PLA z 2020 roku, możemy znaleźć informacje na temat 54 Instytutu Badawczego (Północnego Instytutu Sprzętu Elektronicznego) jako również podległego armii Chin.

Stworzenie SSF pokazuje jak wysoki priorytet Chiny nadają zapewnieniu sobie przewagi w zakresie operacji w cyberprzestrzeni. PLA zyskało komponent dedykowany działaniom cyber, podobny do amerykańskiego Cybercommand, aczkolwiek z trochę innym zakresem odpowiedzialności – co wynika z doktryny ściśle łączącej cyberprzestrzeń z przestrzenią kosmiczną. Być może adekwatnszym porównaniem byłoby więc Stratcom – amerykańskie Dowództwo Strategiczne odpowiedzialne za działania kosmiczne, wywiad i C4ISR. Poszukiwanie dokładnych odpowiedników nie ma oczywiście większego sensu. Chińska doktryna ma swoje własne założenia, szczególnie w zakresie traktowania wszystkich dostępnych środków walki jako możliwie zintegrowane siły walki. Integracja domen jest kluczowym zwrotem o ile mówimy o reformie sił zbrojnych z 2015. Jednostki odpowiedzialne za operacje komputerowe zostały połączone we wspólnym komponencie PLA, który to ma umożliwić zintegrowane operacje płynnie łączące funkcjonalności konieczne w czasie pokoju i w czasie wojny, a kooperacja z sektorem cywilnym w ramach MCF to jeden z filarów idei SSF.

I tak zarysowuje się struktura organizacyjna Armii Ludowo Wyzwoleńczej w zakresie wspierania i prowadzenia operacji cyber. Już teraz zapraszam do kolejnego posta, gdzie przyjrzymy się działalności owianego ponurą sławą Ministerstwa Bezpieczeństwa Państwowego.

Idź do oryginalnego materiału