Unit spionase siber Tiongkok yang dituduh tampaknya sangat terspesialisasi

BEIJING – Unit 61398 Tentara Pembebasan Rakyat telah merekrut ahli komputer setidaknya selama satu dekade. Mereka tidak merahasiakan detail kehidupan masyarakat seperti pertandingan bulu tangkis dan taman kanak-kanak, namun tujuan nyata mereka baru menjadi jelas ketika sebuah perusahaan keamanan internet AS menuduh mereka menjalankan kampanye peretasan besar-besaran terhadap target-target di Amerika Utara.

Peretas yang bekerja di unit Tiongkok telah aktif selama bertahun-tahun, menggunakan akun online seperti “UglyGorilla,” kata perusahaan Mandiant yang berbasis di Virginia dalam sebuah laporan yang dirilis Selasa, ketika AS bersiap untuk menindak negara-negara yang bertanggung jawab atas spionase dunia maya. Laporan Mandiant ditambah rincian yang dikumpulkan oleh The Associated Press menggambarkan komunitas pejuang Internet yang sangat terspesialisasi yang beroperasi dari sebuah gedung putih kotak-kotak di Shanghai:

–MEREKRUT MATA-MATA: Unit 61398, dikatakan sebagai salah satu dari beberapa operasi peretasan yang dijalankan oleh militer Tiongkok, merekrut langsung dari universitas. Ini mendukung literasi komputer yang tinggi dan keterampilan bahasa Inggris. Pemberitahuan tertanggal 2003 di Internet Tiongkok mengatakan unit tersebut sedang mencari mahasiswa magister dari Fakultas Ilmu Komputer dan Teknologi Universitas Zhejiang. Pihaknya menawarkan beasiswa, dengan syarat mahasiswa tersebut melamar kerja di Unit 61398 setelah lulus.

— TEMPAT KERJA CYBERSPY: Mandiant mengatakan pihaknya telah melacak sejumlah serangan siber terhadap perusahaan pertahanan dan infrastruktur AS hingga ke lingkungan di distrik Pudong Shanghai yang mencakup gedung 12 lantai tempat Unit 61398 diketahui bertempat. Gedung ini memiliki ruang kantor yang dapat menampung hingga 2.000 orang. Mandiant memperkirakan jumlah staf di unit tersebut berkisar antara ratusan hingga beberapa ribu. Lingkungan sekitarnya dipenuhi dengan gedung apartemen, kedai teh, toko, dan bar karaoke.

— KOMUNITAS UNIT 61398: Meskipun aktivitas bangunan mungkin sangat dirahasiakan, status Unit 61398 di komunitas sebagai unit militer tidak dirahasiakan. Hal ini muncul dalam berbagai referensi internet Tiongkok mengenai acara-acara komunitas, termasuk perjanjian tahun 2010 dengan pemerintah daerah untuk mendirikan pusat penjangkauan bersama mengenai keluarga berencana. Artikel lain menjelaskan pernikahan massal petugas, pertandingan bulu tangkis, dan bahkan diskusi tentang manfaat “TK Unit 61398”. Fasilitas pendukung lainnya termasuk klinik, tempat parkir mobil, dan wisma – semuanya merupakan fasilitas standar bagi komunitas militer yang mandiri di seluruh Tiongkok.

— PIPA: Laporan Mandiant menjelaskan pengaturan khusus yang dibuat dengan China Telecom untuk infrastruktur komunikasi serat optik di area Unit 61398, yang menunjukkan kebutuhan bandwidth dan status elitnya. Kontrak antara keduanya mengacu pada Unit 61398 sebagai milik Departemen ke-3, Biro ke-2 Departemen Staf Umum, dan mengatakan China Telecom menyetujui harga yang diusulkan militer karena masalah “konstruksi pertahanan nasional”.

–MODE OPERANDUS: Mata-mata dunia maya biasanya memasuki jaringan komputer yang ditargetkan melalui serangan “spearfishing”, di mana pejabat perusahaan menerima email yang disamarkan secara kreatif dan ditipu untuk mengklik tautan atau lampiran yang kemudian membuka pintu rahasia untuk dibuka oleh peretas, kata Mandiant. Mata-mata dunia maya rata-rata mencuri dan mengirimkan ulang data dalam waktu kurang dari satu tahun, namun dalam beberapa kasus lebih dari empat tahun. Perusahaan-perusahaan teknologi informasi menjadi target favorit mereka, diikuti oleh perusahaan-perusahaan dirgantara, yang menunjuk pada bidang minat utama ketika Tiongkok berupaya mengembangkan pesawat sipil dan militer mutakhirnya sendiri.

— PENANGANAN ONLINE: Mandiant mengidentifikasi tiga peretas unit berdasarkan nama layar mereka. Dikatakan salah satu dari mereka, “UglyGorilla,” pertama kali ditelusuri ke forum online tahun 2004 yang mengajukan pertanyaan kepada pakar keamanan siber tentang apakah Tiongkok memerlukan kekuatan khusus untuk bertindak melawan kelompok online yang disusun oleh Amerika Serikat. Pengguna nama layar lain, “Dota,” tampaknya adalah penggemar Harry Potter; Mandiant mengatakan referensi ke buku dan karakter film muncul sebagai jawaban atas pertanyaan keamanan komputernya.

Peretas Unit 61398 terkadang diidentifikasi oleh perusahaan keamanan sebagai “Kru Komentar” karena praktik mereka memasukkan pintu belakang rahasia ke dalam sistem menggunakan kode yang tertanam dalam komentar di situs web.

– TWEET PUBLIK: Dan apa yang membantu Mandiant melacak sumber peretasan di lebih dari 140 perusahaan dan organisasi dari AS dan negara lain? Facebook dan Twitter.

“Great Firewall” pemfilteran internet di Tiongkok memblokir jejaring sosial yang berbasis di AS tersebut, namun operator unit 61398 berhasil melakukannya dengan mengaksesnya langsung dari sistem unit tersebut. Mandiant dapat melihat bahwa akun Facebook dan Twitter diakses dari alamat Protokol Internet yang terhubung ke unit tersebut. Tidak jelas apakah akun-akun tersebut membantu peretasan atau hanya untuk penggunaan pribadi para peretas.

“Para pelaku ini membuat pilihan keamanan operasional yang buruk, sehingga memfasilitasi penelitian kami dan memungkinkan kami melacak aktivitas mereka,” kata laporan itu.