Bakgrund
Den amerikanska justitiedepartementet (DOJ) har nyligen offentliggjort en åtal mot två kinesiska medborgare, Yin Kecheng (även känd som “YKC”) och Zhou Shuai (även känd som “Coldface”), som anklagas för att ha varit inblandade i en omfattande och långvarig cyberattackkampanj mot amerikanska mål. Denna operation sträcker sig över mer än ett decennium och har riktats mot högt prioriterade mål i USA, inklusive försvarsindustrin, teknikföretag, myndigheter och forskningsinstitutioner.
De två anklagade hackarna har, enligt DOJ:s rapport, haft direkta kopplingar till Kinas säkerhets- och underrättelsemyndigheter, inklusive Kinas ministerium för allmän säkerhet (MPS) och ministeriet för statssäkerhet (MSS). Deras verksamhet uppges ha varit en del av ett större nätverk av “statligt sponsrade hackare”, där den kinesiska staten använde privata entreprenörer för att genomföra cyberoperationer samtidigt som de upprätthöll plausibel förnekelse.
Denna PM syftar till att ge en omfattande genomgång av dessa cyberoperationer, deras metodik, mål och den bredare kontexten av Kinas cyberstrategi baserat på tillgängliga uppgifter från DOJ:s åtal och rapporten Hackers with State Immunity: China’s Cyber Agents.
Översikt över Yin Kecheng och Zhou Shuai’s Hackerkampanj
Identitet och bakgrund
Yin Kecheng (”YKC”) är känd för att ha varit en framstående cyberoperatör sedan 2011. Han har tidigare varit aktiv i kinesiska hackerforum och tros ha utvecklat sofistikerade malware-verktyg. Zhou Shuai (”Coldface”) är en tekniskt skicklig hacker med fokus på kryptografiska och anonymiseringsstrategier för cyberattacker.
Båda dessa personer tros ha arbetat i skuggmiljöer under statens beskydd, vilket möjliggjorde deras verksamhet utan rädsla för rättsliga konsekvenser i Kina.
Metodik och verktyg
De kinesiska hackarna använde en rad avancerade cybertekniker för att genomföra sina attacker, inklusive:
• Zero-day-exploits: Utnyttjande av okända sårbarheter i system innan de åtgärdats av tillverkaren.
• Avancerade malware-program: Specifikt utvecklade verktyg för att exfiltrera data och bibehålla tillgång till komprometterade nätverk.
• Hop points och VPN-kryptering: Tekniker för att dölja deras identitet genom att använda mellanstationer för att maskera deras ursprung.
• Kryptovaluta-laundering: Förflyttning av betalningar via kryptovalutor för att undvika spårning och finansiera deras verksamhet.
Måltavlor och mål
Hackarna riktade in sig på en lång rad sektorer i USA och utanför, inklusive:
• Försvarsentreprenörer
• Högteknologiska företag
• Tankesmedjor och akademiska institutioner
• Statliga myndigheter, inklusive det amerikanska finansdepartementet
• Sjukvårdssystem och forskningscentra
• Religiösa organisationer
• Asiatiska utrikesministerier
Syftet med dessa attacker var att samla in känslig information för Kinas ekonomiska och militära vinning, men även att möjliggöra kommersiell exploatering av stulna data.
Kinas Statliga Cyberstrategi och Hackarstruktur
Kinas ministerium för statssäkerhet (MSS) och ministeriet för allmän säkerhet (MPS)
MSS och MPS fungerar som de primära aktörerna bakom Kinas cyberoperationer. MSS är Kinas underrättelseorgan och har en central roll i att genomföra cyberespionage medan MPS hanterar inhemska säkerhetsoperationer.
Den kinesiska regeringen har enligt rapporten Hackers with State Immunity i ökande grad använt sig av privata hackare för att sköta dessa operationer, vilket ger dem en högre grad av deniability. Hackarna får tillstånd att sälja viss exfiltrerad information på svarta marknaden i utbyte mot att de också genomför statligt sanktionerade attacker.
Den Kinesiska Hackarstrukturen
Rapporten belyser hur Kina organiserar sina cyberoperationer genom en skuggstruktur av privata aktörer som arbetar med staten men på armlängds avstånd.
Modellen ser ut så här:
• Statliga enheter (MSS och MPS) – Beställer och finansierar cyberattacker.
• Privata hackinggrupper – Utför attackerna under MSS/MPS kontroll men har viss frihet att kommersialisera delar av datan.
• Mellanhänder och datamäklare – Hjälper till att monetarisera stulna data genom försäljning på darknet och till företag.
• Anonyma kryptotransaktioner – Finansiering sker genom Bitcoin och andra kryptovalutor.
Exempel på Attacker och deras Konsekvenser
Attacken mot US Department of Treasury (2024)
Den senaste attacken riktad mot det amerikanska finansdepartementet visar den fortsatta eskaleringen av Kinas cyberkrigsföring. FBI lyckades spåra kryptovalutatransaktioner direkt kopplade till Yin Kecheng, vilket ger starka bevis på hans inblandning.
Tidigare Kända Operationer
• APT10 (”Cloud Hopper”) – En av de mest ökända kinesiska cyberkampanjerna, riktad mot globala IT-tjänsteföretag.
• APT40 – Ett statsunderstött nätverk fokuserat på maritima industrier och försvar.
• Hafnium-attackerna – Riktade attacker mot Microsoft Exchange-servrar, där Kina tros ha infiltrerat tusentals företag.
Konsekvenserna av dessa attacker har inkluderat miljardförluster i ekonomisk skada, ökad spänning mellan USA och Kina samt stärkta cybersäkerhetsåtgärder i västvärlden.
FBI:s Åtgärder och Internationella Sanktionsmöjligheter
Efterlysning och belöningar
FBI har utlyst en belöning på upp till 2 miljoner USD för information som leder till gripandet av Yin Kecheng och Zhou Shuai.
Rättsliga åtgärder
USA har tidigare använt sig av sanktioner och diplomatiska åtgärder för att bekämpa kinesisk cyberaktivitet. Det återstår att se om DOJ kommer att driva på ytterligare åtgärder såsom:
• Sanktioner mot kinesiska företag som tros ha gynnats av stulen data.
• Utökade åtal mot kinesiska hackare och företag.
• Samarbete med andra nationer för att motverka kinesisk cyberaktivitet globalt.
Slutsats
Den senaste DOJ-rapporten och innehållet i Hackers with State Immunity bekräftar att Kina systematiskt använder sig av privatpersoner och företag för att genomföra avancerade cyberattacker. Yin Kecheng och Zhou Shuai är bara två exempel på en större strategi där cyberattacker används som ett medel för ekonomisk och strategisk dominans.
De rättsliga och diplomatiska åtgärderna som nu vidtas kommer sannolikt att påverka relationerna mellan USA och Kina under de kommande åren.
Källförteckning
1. Dark Reading. Private Firms & Academia Play Key Role in China’s Cyber Offense Strategy. Hämtad från: Dark Reading.
2. Defense One. China is Turning to Private Firms for Offensive Cyber Operations. Hämtad från: Defense One.