15.01.2024.

“Ovdje su da ostanu” – hakiranje koje je povezano sa kineskom državom radi strateških ciljeva

Ključni nalazi
 
Kinesko hakiranje predstavlja rizik za dugoročni prosperitet Evrope. Postaje sve sofisticiranije i prati strateške ciljeve kineske vlade.
Kina je glavni izvor cyber napada na Evropu. Iako nemaju svi kineski akteri prijetnji jasne veze s kineskom vladom, postoje značajni dokazi o povezanosti sa Vladom Kine za mnoge od njih, što ukazuje na određeni stepen državne pripadnosti i sponzorstva.
Kina je preuredila svoje hakerske sposobnosti kako bi  povećala borbenu spremnost Narodnooslobodilačke armije. Institucionalne promjene su stvorile fleksibilniju i sofisticiraniju hakersku scenu koja je povezana sa državom.
Kineski akteri prijetnji obično napadaju radi dugotrajnog pristupa. Za razliku od napada ometanja koje izvode ruski akteri ili onih koji donose novac od strane sjevernokorejskih aktera, kineski napadi su više strateški.
Kineski akteri prijetnji fokusiraju se na manji broj visokovrijednih ciljeva i ponovo koriste iste eksploatacije za različite tipove meta. Teže ih je uočiti, jer koriste rubne uređaje poput rutera i tehnike dizajnirane da izbjegnu otkrivanje.
Kina se do sada nije upuštala u napade ometanja, ali gradi sposobnosti koje bi kasnije mogla iskoristiti za ometanje. Njeno korištenje cyber dometa i ciljanje kritične infrastrukture za dugoročni pristup sugerira da se Kina priprema za buduće razorne aktivnosti, koje predstavljaju rizik za Evropu.
 
1.1 Kineski cyber napadi se povećavaju i postaju sve sofisticiraniji
 
Kako se sve više ekonomske aktivnosti usmjerava na internet, cyber napadi postaju sve važniji. Globalno, Evropska komisija procjenjuje da će cyber napadi koštati 5,5 biliona eura.1 Procjenjuje se da su cyber napadi koštali njemačke kompanije 223 milijarde eura ili šest posto njemačkog BDP-a, u 2021.2 Iste godine, 86 posto njemačkih kompanija pretrpjelo je cyber napad koji je doveo do neke štete, prema jednom istraživanju.
3
Kako se mnogi cyber napadi ne objavljuju, teško je utvrditi koliko ih potiče iz određene zemlje. Do javnih informacija o kineskim cyber aktivnostima postalo je teško doći. Otprilike do 2015. bilo je sve više medijskih izvještaja o kineskim cyber napadima.4 Od tada, Kina je radila na skrivanju svojih sposobnosti, ali ima dovoljno dokaza da je ona značajan i rastući izvor cyber napada. Osim toga, dok većinu cyber napada izvode kriminalni akteri koji samo žele zaraditi novac, kineski su više strateški i predstavljaju rizik za dugoročni prosperitet Evrope.
Iako se umiješanost kineske vlade ne može dokazati u svim slučajevima, vjerovatno postoji određena umiješanost, s obzirom na njenu kontinuiranu aktvnost za kontrolu cyber prostora i cyber aktera u zemlji. Pokazalo se da mnogi kineski akteri prijetnji imaju direktne veze sa Narodnooslobodilačkom vojskom, Ministarstvom državne sigurnosti ili, u manjoj mjeri, Ministarstvom javne sigurnosti. Postoje i čvrsti dokazi da vlada finansijski podržava aktere prijetnji koji izvode ovdje opisane napade.
Prema Evropskom repozitoriju cyber incidenata (EuRepoC), Kina je bila država odgovorna za najveći broj cyber napada u svijetu između 2005. i 2023. sa 240, a slijedi Rusija sa 158. Hakeri porijeklom iz Kine bili su odgovorni za napade na 1.120 od ukupno ukupno 6.335 žrtava, dok je Rusija odgovorna za 605.
Njemačke kompanije bilježe pojačane napade iz Kine. Tako je 2021. godine, 30 posto njih izjavilo da su napadnuti iz Kine, 2022. godine taj broj je iznosio 43 posto.5 Naprimjer, 2019. godine ustanovljeno je da je kineska hakerska grupa Winnti godinama napadala velike njemačke korporacije. Počelo je sa ciljanjem na industriju igara kako bi zaradila novac i prešla na tehnološke i farmaceutske kompanije, a onda je 2022. počela napadati vladine institucije i ambasade.6 Bilo je toliko sveprisutno u njemačkim kompanijama da se jedan stručnjak za kibernetičku sigurnost našalio da „[a] ny DAX [najvažniji njemački berzanski indeks] korporacija koju Winnti nije napao, mora da je učinila nešto loše.”7
Kineske hakerske aktivnosti nisu samo povećane, postale su sofisticiranije. U Sjedinjenim Američkim Državama to pokazuju optužnice Ministarstva pravde, izjave Federalnog istražnog biroa i izvještaji firmi za cyber sigurnost. Kinesko hakiranje je prvobitno bilo fokusirano na velike phishing kampanje8, ali je postalo sve više fokusirano na dugoročne i ciljane napade.9  
U Evropi su vlade, a posebno obavještajne službe, polako priznavale ovaj problem. U izvještaju njemačke domaće obavještajne agencije Verfassungsschutz iz 2021. se  navodi: „U Njemačkoj su politika i birokratija, ekonomija, nauka i tehnologija, kao i vojska glavni ciljevi kineske špijunaže. Da bi ostvarila svoju ambicioznu industrijsku politiku, Kina koristi špijunažu u poslovanju i nauci.”10
 
Godine 2021. NATO, EU, Australija i Novi Zeland su javno pripisali hakiranje Microsoft Exchange servera kineskom Ministarstvu državne sigurnosti.11 Grupa koju je Microsoft identificirao kao napadača, Hafnium, ciljala je na nekoliko industrija kako bi eksfiltrirala informacije i, nakon što je dobila pristup, instaliran dodatni zlonamjerni softver kako bi se olakšao dugoročni pristup.12
 
Izvori podataka i metode
 
Pripisivanje cyber napada određenom državnom ili nedržavnom akteru je veliki izazov. Dok IPv6, najnovija verzija Internet protokola (IP), obično omogućava identifikaciju izvora, akteri prijetnji rutinski usmjeravaju napade preko različitih lokacija, a često se može identificirati samo posljednji "hop" (lokacija neposredno prije cilja).
To je bio slučaj, naprimjer, kada su hakeri porijeklom iz Kine napali Ministarstvo vanjskih poslova Tajvana u augustu 2022. Dok je većina uključenih izvornih IP adresa bila kineska, neke su bile ruske. Napadači, također, često koriste kompromitirane hostove. Čak i kada je moguće pratiti IP adrese do krajnjih izvora, to nije dokaz umiješanosti vlada, koje nemaju tendenciju da imaju potpunu kontrolu nad svojim cyber prostorom.
Osnova za atribuciju može biti zajednička operativna procedura (koja se često naziva TTP, za taktike, tehnike i procedure), adrese e-pošte, zajedničke ranjivosti i eksploatacije (tj. napadi koje je koristio samo jedan akter prijetnje). Dodatni faktori mogu pomoći pri atribuciji određenoj zemlji, kao što su IP adrese koje se nalaze u vladinim zgradama i koriste se tokom radnog vremena.
Podudaranje između napada i poznatih ciljeva vlade je najslabija osnova za atribuciju, a njeno korištenje riskira iskrivljavanje podataka. Ova studija stoga razmatra samo one hakove i APT-ove koji su povezani sa kineskom vladom od strane više nezavisnih izvora koji odmjeravaju nekoliko karakteristika, kao što su ranjivost koja je iskorištena, vrijeme napada i obim uključene mreže i upoređuje ovaj “otisak prsta” sa profilom poznatih APT-ova.
Budući da je pripisivanje teško, istraživanje za ovaj izvještaj analiziralo je EuRepoC – kolekciju podataka iz nezavisnog evropskog istraživačkog konzorcijuma o cyber incidentima – kako bi se kinesko učešće u hakiranju stavilo u globalni kontekst. Za pojedinačne slučajeve, istraživanje se oslanja na izvještaje nezavisnih firmi za cyber sigurnost kao što je Mandiant. U ovu analizu uključeni su samo oni slučajevi hakiranja koje je ili potvrdilo više firmi za sajber sigurnost ili demokratska vlada sa informacijama o tome zašto je ovaj napad pripisan državnom akteru. Istraživanje je  uključilo kartice aktera prijetnji koje su proizvele tajlandska Agencija za razvoj elektronskih transakcija i Malpedia aktera prijetnji Fraunhofer FKIE. Prikupljeni podaci vjerovatno će potcijeniti napade koji potiču iz demokratija, uključujući Sjedinjene Američke Države.  
 
1.2 Kinesko hakiranje služi strateškim ciljevima poput tehnoloških inovacija
 
Sa proširenjem definicije nacionalne sigurnosti od strane predsjednika Xi Jinpinga na ekonomsku i tehnološku sigurnost, hakiranje od strane kineskih državnih aktera sada služi nacionalnim strateškim ciljevima. Ovo uključuje tehnološke inovacije, prikupljanje informacija za spajanja i akvizicije, ciljanje na disidente i tradicionalnu špijunažu protiv stranih vlada. Kineski ambasador u SAD je 2014. godine rekao, kada je objašnjavao zašto je cyber aktivnost protiv komercijalnih tajni isto što i špijunaža nacionalne sigurnosti: „Kako možete razlikovati aktivnosti koje će naštetiti nacionalnoj sigurnosti, a da ne naškode komercijalnim interesima nacije?“13
Evropski prosperitet se dobrim dijelom oslanja na njenu tehnologiju i snagu inovacija. Tehnološke inovacije sve više pokreću geopolitičku, ekonomsku i vojnu konkurenciju. U međuvremenu, Kina, koju je EU označila kao sistemskog rivala, u trci je za tehnološku nadmoć sa Zapadom.14
Xi je 2020. godine opisao nauku i tehnologiju kao glavno bojno polje ekonomije.15 U novom sistemu „holističkih inovacija“ i „sistema svih država“, rekao je, svi bi trebalo da se okupe kako bi služili kineskim inovacijskim potrebama.
Kina je koristila legalne i ilegalne načine da podstakne transfer znanja i tehnologije.16 Njen paket alata uključuje zahtjeve za transfer tehnologije za pristup tržištu, zahtjeve za zajedničkim ulaganjima za ulaganja u Kini i slabu zaštitu intelektualne svojine.17 Kineske firme su pokušale privući talente, posebno u industriji poluprovodnika.
Naprimjer, Semiconductor Manufacturing International Corporation je regrutirala inženjere iz Tajvanske kompanije Semiconductor Manufacturing Company u velikom obimu, barem udvostručivši njihovu plaću.18 Na ilegalnoj strani postoji ekonomska špijunaža. Ove godine, izvršnom direktoru fabrike poluprovodnika se sudi u Južnoj Koreji zbog krađe Samsungovih tajni koje bi se koristile za izgradnju fabrike u Kini.19 Holandska kompanija poluprovodnika ASML je navela da je krađa IP-a od strane bivšeg zaposlenog bila „zavjera da se dobije tehnologija za kinesku vladu” i dobila je ovu parnicu.20 Huntsman Corp, američki proizvođač hemikalija, tvrdi da je njegova poslovna tajna ukradena tokom procesa regulatornog odobrenja koji je odobrila vlada.21
Hakiranje je glavni ilegalni način na koji Kina dobija pristup kritičnoj tehnologiji. Njemački Verfassungsschutz je naveo da su “posebno njemačke visokotehnološke kompanije i lideri na svjetskom tržištu na meti najvjerovatnije kineske špijunaže.”22 Prema Verfassungsschutz, ove špijunske aktivnosti su vođene nacionalnim i globalnim inicijativama kineske vlade. Ove vladine inicijative postavljaju vrlo specifične strateške ciljeve u tehnologiji. Naprimjer, program Made in China 2025 ima za cilj da zemlju učini proizvođačem visokotehnološke robe, da poveća udio autohtone fundamentalne tehnologije i da poveća informatizaciju u privredi.23 Od svog početka 2016. godine, a time i u cijelom trgovinskom i tehnološkom ratu sa Sjedinjenim Državama, povećao se fokus Kine na autohtone inovacije, nauku i tehnologiju.
Zapadne firme za cyber sigurnost i vladine agencije slažu se da je kinesko ciljanje industrije za hakiranje u skladu sa strateškim prioritetima u njenim petogodišnjim planovima.  
Godine 2005. američka obavještajna zajednica izrazila je zabrinutost zbog kineskih špijuna koji „upadaju u sve vrste američke tehnologije kako bi se takmičili sa SAD-om.”24 Jedan primjer je kampanja Titan Rain iz 2005. koja je ciljala tehnologiju kojoj je zabranjen izvoz u Kinu iz Ujedinjenog Kraljevstva i SAD, pored fokusiranja na odbrambene izvođače i Ministarstvo odbrane SAD.25 Titan Rain je otkrio državno-privatni neksus u kineskom tehnološkom sistemu. Godine 2011. objavljeno je da se „mnoge američke firme čije se poslovanje tiče intelektualne svojine žale da su njihovi sistemi sada pod stalnim napadom.“26 Godine 2014., direktor Federalnog istražnog biroa James Comey rekao je: „Predugo je kineska Vlada očigledno pokušala iskoristiti cyber špijunažu da bi stekla ekonomsku prednost za svoje državne industrije.”27 Vlada SAD je 2021. godine navela da je jedna hakerska kampanja koja potiče iz Hainana ciljala mnoge ključne tehnološke kompanije na Zapadu.28 O ovome je izvjestio Mandiant, kompanija za kibernetičku sigurnost koja je kao odgovornu identificirala prvog velikog kineskog državnog aktera napredne persistentne prijetnje (APT) – Jedinicu 61398 PLA (takođe zvanu APT1). Ciljane industrije bile su usklađene sa strateškim prioritetima navedenim u kineskom petogodišnjem planu.29
Evropa je, također, sve više zabrinuta zbog kineske ekonomske špijunaže putem hakiranja. Prva njemačka strategija za Kinu, usvojena u julu 2023. godine, navodi da se „špijunske aktivnosti usmjerene na Njemačku nastavljaju povećavati, posebno u cyber prostoru.“30 U Holandiji su obavještajne agencije upozorile na kineske cyber napade, navodeći da su „krunski dragulji holandske ekonomije u opasnosti.”31 U svom najnovijem godišnjem izvještaju, Opća obavještajna i sigurnosna služba nazvala je Kinu „najvećom prijetnjom ekonomskoj sigurnosti Holandije”, a njen generalni direktor je rekao da „Kinezi koriste cyber kao oružje, cyber kao način da se izvrši špijunaža.”32
 
1.3 Kina preuređuje svoje hakerske sposobnosti kako bi otežala atribuciju
 
Kina je preuredila svoje hakerske sposobnosti kako bi otežala atribuciju. Države su se dugo oslanjale na proxy za cyber napade kako bi iskoristile njihovu stručnost i otežale atribuciju.33 Autokratije imaju tendenciju da više koriste proxy, ali su oni često prilično čvrsto ukorijenjeni u njihovoj državnoj birokratiji i imaju samo ograničenu autonomiju, kao što je slučaj sa Kinom, čime je njihovo imenovanje kao punomoćnika osporeno.34
Kineska cyber špijunaža započela je u Narodnooslobodilačkoj vojsci (PLA), čije jedinice uz političku i vojnu špijunažu često provode i ekonomsku. 2009. godine, naprimjer, u depeši State Departmenta se tvrdilo da se niz napada može pratiti do Trećeg odjela PLA, koji je u to vrijeme nadgledao kinesko elektronsko prisluškivanje.35
Javno imenovanje i sramoćenje i američke optužnice kineskih hakera postale su česte, posebno između 2009. i 2015. Zbog toga što je većina hakera direktno locirana u PLA, kineska vlada nije mogla vjerodostojno poreći svoju direktnu umiješanost.
Godine 2015. Xi i američki predsjednik Barack Obama potpisali su sporazum da se Kina i SAD neće baviti komercijalnom cyber špijunažom.36 Nakon toga uslijedilo je kratkoročno smanjenje kineskog hakiranja, iako je nejasno koliko je za to zaslužna Kina, poštivanje sporazuma, a koliko promjene u pristupu.
Rekonstrukcija kineske vojske 2015. – kada su formirane Strateške snage za podršku kako bi se centralizirale sve svemirske, cyber, elektronske i psihološke sposobnosti PLA37 – otežala je procjenu efikasnosti sporazuma. Od 2016. godine došlo je do značajnog povećanja obima i sofisticiranosti kineskog hakiranja. Čak i prije toga, dio kineskog cyber hakiranja navodno je prešao u privatni sektor i ogromnu „elitnu satelitsku mrežu izvođača u posrednim kompanijama i univerzitetima koji rade na smjeru kineskog Ministarstva državne sigurnosti.”38 Od 2015. ovu „slobodnu cyber vojsku” vodi Ministarstvo državne sigurnosti, koje je službeno obavještajna agencija punog spektra, dok je PLA prešla na borbeno orijentirane aktivnosti.  
 
2. Hakeri služe partijskoj državi u nekoliko domena
 
Analiza podataka EuRepoC otkriva da je između 2005. i 2021. više od 78 posto kibernetičkih napada pripisanih kineskim akterima prijetnje bilo zbog krađe podataka (za poređenje, brojka za Rusiju je bila 60 posto).39 Polovina njih je uključivala “ otmice uz zloupotrebu” (preuzimanje kontrole nad kompjuterom da bi mogao pokrenuti komande ili promijeniti nešto na njegovom disku), što često u konačnici služi i za krađu podataka u kineskim napadima koje provode akteri povezani sa državom. Napadi APT1 na američke mete između 2006. i 2013. jedan su od primjera otmice koja je na kraju poslužila da se osigura da PLA jedinica ima neprekidan pristup „krađi širokih kategorija intelektualne svojine“.40
Kineski akteri prijetnji često pokušavaju ostati neotkriveni prenoseći samo male količine podataka. Oni analiziraju podatke na licu mesta i prenose samo ono što je relevantno.41 Naprimjer, napadi grupe Winnti prenijeli su samo internu tehnološku dokumentaciju, certifikate za potpisivanje koda (koji dozvoljavaju napade na lanac snabdijevanja) i izvorni kod.42
Državne institucije su bile najvažnije mete napada (sa 32 posto). Kritična infrastruktura, korporativne institucije i naučne institucije su bile veoma važne, a sve češće su bile na meti odbrambene, energetske i telekomunikacione industrije, kao i vojne institucije.
 
2.1 Kineski napadi ciljaju vladine službe i tehnološke kompanije
 
Kineski akteri prijetnji imaju raznolik skup ciljeva, ali oni odražavaju i podržavaju prioritete kineskog vodstva, poput onih navedenih u Petogodišnjem planu. Oni uključuju disidente, vlasnike patenata i korporativne i državne učesnike u međunarodnim pregovorima. Kineski hakeri su podržali kineska državna preduzeća u trgovinskim pregovorima tako što su provalili mreže važnih američkih firmi kao što su U.S. Steel i SolarWorld.43 Naprimjer, RedAlpha je najpoznatija po ciljanju Tibetanaca u egzilu, ali infrastruktur koju koristi (uključujući servere i IP opsege ) je  korištena za hakiranje stranih vlada. U nekoliko slučajeva, vladine institucije bile su na meti tokom perioda dijaloga sa Kinom.
Čini se da se neki akteri fokusiraju na specifične strateške sektore. APT40, naprimjer, cilja na istraživačke projekte na univerzitetima koji se odnose na pomorske sposobnosti, posebno projekte koje sponzorira vlada.44 Drugi, poput APT24, fokusiraju se na tradicionalnu špijunažu i krađu dokumenata sa političkim značajem.45 Mnogi prikupljaju informacije od političke važnosti, kao i IP- povezane informacije u ključnim industrijama. Godine 2018. RedAlpha je ciljala na Daimler AG, dan nakon što je kompanija smanjila izglede za profit kao rezultat rastućih tenzija između Kine i SAD.46 Sve ovo podržava argument da su ove aktivnosti koje potiču iz Kine povezane sa državom.47
Napadi za prikupljanje obavještajnih podataka prije neposrednih događaja, ne samo posjete na visokom nivou, već i razgovori o spajanju i akviziciji, stalno se bilježe. Naprimjer, značajan porast kineske aktivnosti skeniranja primijećen je na Aljasci 2018. godine, neposredno prije nego što je trgovinska delegacija američke države trebala otputovati u Kinu.48 Ovaj obrazac je uočen kod Njemačke i zemalja u okviru Inicijative Pojas i put.49
 
2.2 Kineska vlada provodi kampanju za cyber špijunažu
 
Činjenica da mnogi napadi potiču iz Kine nije nužno dokaz vladinog djelovanja. S obzirom na to da Kina ima 25 posto globalne online populacije i domaćin je mnogim online serverima bez ili sa minimalnom zaštitom, nije iznenađujuće da mnogi napadi potiču iz zemlje ili se mogu pratiti tamo.50 Međutim, na osnovu podataka EURepoC-a, istraživanje od strane međunarodnih firmi za cyber sigurnost i savjeta obavještajnih agencija, jasno je da kineska vlada provodi namjernu kampanju za dobijanje obavještajnih podataka pomoću hakiranja.  
Trajne kampanje poput Titan Rain pokazuju kako vektor napada ili eksploatacija putuje kroz kinesku hakersku scenu i dijele ga akteri. Ako je jedan od uključenih aktera identificiran kao kineska vlada, to čini vjerovatnim da su svi ostali povezani sa državom, posebno uz analizu njihovog TTP-a, njihovih meta i obavještajnih podataka otvorenog koda o određenim hakerima.51
Postoje i dokazi da kineske hakerske grupe dobijaju informacije o metama iz vladinih izvora. Zakon o otkrivanju ranjivosti iz 2021. zahtijeva da sve kompanije, uključujući kompanije za kibernetičku sigurnost i hakerske usluge, koje posluju u Kini, moraju prijaviti sve ranjivosti vlastima u roku od dva dana. Dva dana često nisu dovoljno vremena da kompanije zakrpe ranjivost,52 i, prema Microsoftu, povećana upotreba nultih dana (ranije nepoznatih eksploatacija) od strane aktera sa sjedištem u Kini vjerovatno je povezana sa ovim zahtjevom.53 Ovo sugerira neki nivo koordinacije između vladinih odbrambenih i ofanzivnih snaga.
Mnogi kineski akteri prijetnji imaju više uloga. Oni vrše špijunažu stranih državnih aktera i vrše ekonomsku špijunažu stranih aktera iz privatnog sektora, posebno u oblastima od strateškog značaja za državu. Neki koriste iste alate i resurse za lični profit. Ovo dodatno otežava atrbuciju.
 
APT41, najplodniji akter prijetnje identificiran sa 16 napada, provodio je špijunažu koju sponzorira država, kao i „finansijski motiviranu aktivnost koja je potencijalno izvan državne kontrole.“54 Budući da su kineske vlasti redovno razbijale kriminalne hakere, takve aktivnosti sugeriraju da Ministarstvo državne sigurnosti možda neće imati toliku kontrolu nad nekim hakerskim grupama koliku bi željelo imati.55
 
2.3 Kineska vlada pokušava povećati kontrolu nad hakerima
 
Rizik povezan sa postojanjem proxia i slobodne cyber vojske postao je očigledan kineskoj vladi. Nakon što su kineski haktivisti koji se zovu Honker ili Crveni haker napali američku ambasadu u Beogradu 1999. nakon američkog bombardovanja tamošnje kineske ambasade, vlada je postala ozbiljnija u obuzdavanju svojih hakera.56 Vlada je uložila napore da postupno ukinw slobodnjake sa kriminalnim namjerama. U 2015. godini, Operacija Čisti internet uključila je neke međunarodno aktivne aktere prijetnji među mete za hapšenje.57
Kineska vlada pokušava ograničiti hakere na nacionalna hakerska takmičenja umjesto na međunarodna. Godine 2017 osnivač najveće kineske kompanije za cyber sigurnost, Qihoo 360, javno je kritizirao kineske građane koji putuju u inostranstvo zbog hakatona. U 2018. godini, organizatori Pwn2Own, važnog međunarodnog takmičenja u kibernetičkoj sigurnosti, objavili su da kineski građani više ne mogu učestvovati u takmičenju zbog domaće kineske regulative.58 Kineski hakerski timovi i dalje zauzimaju četvrto mjesto na CTFTime-u, najvećoj međunarodnoj platformi “Capture the Flag”. Od 2018. godine, Tianfu Cup takmičenje se održava u Kini, a domaćini su velike kineske kompanije za kibernetičku sigurnost, kao i Alibaba, Baidu i Huawei.59 Kineske su koristile modificirane platforme prikazane na ovom događaju da nadziru ujgursko stanovništvo.60
Vlada je pojačala napore da obrazira ogromnu cyber radnu snagu koja je lojalna Komunističkoj partiji Kine kako bi osigurala i cyber sigurnost i hakiranje bez postojanja prijetnji za Partiju.61 Nacionalni centar za cyber sigurnost u Wuhanu, institucija sa velikim kampusom namijenjenim za obuku radnika za cyber sigurnost, inkubator kompanija za cyber sigurnost i provođenje istraživanja, dobar je pokazatelj značaja koji partijska država daje cyber sigurnosti. Akteri iz privatnog sektora su pojačali svoje napore u obrazovanju, kao što pokazuju njihovi cyber oglasi za posao. Postoji velika potražnja za konkurencijom i dizajnerima „Uhvati zastavu“, a došlo je i do porasta domaćih hakerskih takmičenja.
 
Kineska vlada sada čvrsto drži kineske hakere, koji za nju često rade preko niza lažnih kompanija koje su labavo povezane sa regionalnim ograncima Ministarstva državne sigurnosti (MSS), umjesto da budu direktno u PLA hijerarhiji. Neki od ovih hakera i ugovaračkih kompanija doprinose domaćoj represiji i podržavaju Ministarstvo javne sigurnosti u pribavljanju dokaza za korištenje u ispitivanjima, uređajima za brisanje i cenzuri.62 Ostanak na dobroj strani omogućava nekim od ovih hakera da vode financijski motivirane aktivnosti, iako redovne mjere to čine rizičnijim.63  
 
3. Kineski akteri prijetnje napadaju radi dugotrajnog pristupa
 
Širi spektar institucija i hakera postao je dio kineskog hakerskog pejzaža u protekloj deceniji, ali su njihovi ciljevi bili dosljedni. Ključno je da se dugoročni pristup ciljevima vrednuje iznad kratkoročnih nagrada, što se odnosi na PLA, MSS i njihove zastupnike. Ovo otežava otkrivanje.
Ovo se dobro uklapa sa ciljem Strateških snaga za podršku „stalne mobilizacije“ i PLA konceptom mirnodopske-ratne integracije budući da bi se dugoročni pristup mogao koristiti u destruktivne svrhe u slučaju sukoba.64 Također je znak relativno stabilnih APT grupa koje uspevaju ažurirati skupove alata i provere pristupa: APT30, naprimjer, ima dobru kontrolu verzija, omogućavajući mu da zadrži historiju svojih programa, i godinama koristi iste alate. Svakih nekoliko sedmica se prijavljuje na svaki snimljeni računar i ažurira svoje alate kako bi osigurao da ista verzija radi na svakom cilju.65
 
3.1 Kineski akteri prijetnji pokušavaju ostati neotkriveni
 
Kineski akteri prijetnji povezani sa državom pokušavaju ostati neotkriveni, a veliki dio njihovog hakiranja je dizajniran da bude nevidljiv kako bi osigurao dugoročni pristup svojim metama. APT1 je, naprimjer, održavao pristup mrežama u prosjeku 365 dana, a mogao je ostati u nekim mrežama i do pet godina.66 Akteri prijetnji koriste različite tehnike kako bi otežali otkrivanje, za razliku od, recimo, ransomware napada, koji se završavaju čim se otkriju.67
Kineski napadi za dugoročni pristup mogli bi se koristiti za ometajuće napade u budućnosti. Za neke se pokazalo da ostavljaju softver za ometanje, naprimjer, u američkoj energetskoj mreži.68 U analizi podataka EuRepoC-a, 28 posto kineskih napada bilo je usmjereno na kritičnu infrastrukturu. Brojka je 29 posto za Rusiju, za koju je poznato da izvodi remetilačke napade na kritičnu infrastrukturu. Iako kineski akteri prijetnji do danas nisu prešli na ometanje, Kina je postavila kibernetičke domete za provođenje testova ometanja, a sve indicije upućuju na to da gradi sposobnost za ometanje u budućnosti.69
Napad na američku kritičnu infrastrukturu iz 2023. godine Microsoft je pripisao kineskom akteru prijetnji VoltTyphoon-u, za koji je kompanija rekla da namjerava "izvršiti špijunažu i održati pristup bez otkrivanja što je duže moguće."70 VoltTyphoon je pokušao sakriti svoj napad u tipičnoj aktivnosti administratora, poznatoj kao "život od zemlje". To pokazuje da je ovakvu vrstu aktivnosti života izvan zemlje vrlo teško otkriti bez obzira na to koliko je siguran ciljni IT sve dok postoje manje kompanije i privatni korisnički uređaji koji se mogu oteti.
Mrežni uređaji poput rutera su sredstva da se kineski napadi drže nevidljivima.71 Naprimjer, Mandiant je u slučaju jedne specifične ranjivosti jednog rutera identificirao da postoje organizacije u američkoj odbrani, vladi, telekomunikacijama, visokoj tehnologiji, obrazovanju, transportu i finansijski sektori koji su bili ciljani.72 Sve dok postoje takvi nesigurni rubni uređaji, uključujući ne samo mrežne uređaje već i lokalne, male servere, kineski akteri prijetnji mogu nastaviti da ih koriste radi hakiranja.73
 
3.2 Kineski napadi su manje vidljivi od napada drugih autoritarnih zemalja
 
Gotovo 50 posto pripisanih napada u podacima EURepoC-a bilo je iz četiri autoritarne zemlje: Kine, Irana, Sjeverne Koreje i Rusije. Izvještaj njemačkog Verfassungsschutza iz 2022. godine identificirao je Kinu, Iran, Rusiju i Tursku kao četiri glavna aktera prijetnje koje ciljaju na zemlju.74 Svaka od ovih zemalja ima značajnu hakersku zajednicu koja je povezana sa državom i koristi hakiranje za tradicionalnu vladinu špijunažu, ali se razlikuju po njihovim drugim aktivnostima.
Naprimjer, dok se sjevernokorejski hakeri bave tradicionalnom špijunažom poput krađe podataka iz vojske Južne Koreje, većina njihovih hakiranja fokusira se na kratkoročnu finansijsku dobit. Otprilike polovina prihoda Sjeverne Koreje u stranoj valuti navodno je od cyber napada.75 Hakeri koriste ransomware, pljačkaju banke i kradu kriptovalute s internetskih razmjena. Kako je pristup internetu izuzetno ograničen u zemlji, vlasti u Sjevernoj Koreji obično su visoko kultivirane.76  
Nasuprot tome, ruski hakeri se više fokusiraju na ometajuće napade. Više od 30 posto pripisanih napada povezanih sa ruskom državom uključivalo je neke poremećaje, a mnogi su bili posebno dizajnirani da ometaju, poput napada NotPetya na ukrajinsku infrastrukturu 2017. Ruski i sjevernokorejski napadi se
04.02.2025.
ZAPAMTITE OVU I NAREDNU GODINU: Rusija će izgubiti političke satelite na Balkanu 04.02.2025.
"Mama, bio sam u paklu." Kako Ukrajinci traže rođake koju su Rusi kidnapovali tokom  okupacije 04.02.2025.
EU podržava ozelenjavanje Srbije paketom od 16,3 miliona evra 03.02.2025.
Kina isporučuje ključne hemikalije za ruske rakete, pokazuje istraga RSE 03.02.2025.
“Gospodine Putin, odlazi iz Ukrajine” 03.02.2025.
Svjetska banka podržava Bosnu i Hercegovinu u jačanju zdravstvene zaštite 03.02.2025.
Nikad lošiji odnosi Rusije i zapada 02.02.2025.
"Putinov Hitler-jugend": Rusija gradi vojsku sutrašnjice s otetom ukrajinskom djecom, otkriva istraživanje Yalea   02.02.2025.
“BE për kujdesin social”, mbështetje fëmijëve dhe grupeve të cenueshme në 14 bashki në Shqipëri 02.02.2025.
Ruski špijunski brod u britanskim vodama - priprema teren za rat