Securitybedrijf FireEye ontkent dat het een eenheid van het Chinese leger in 2013 heeft gehackt, zoals New York Times-verslaggever David Sanger in een nieuw boek beweert. In februari 2013 publiceerde Mandiant, dat een jaar later voor 1 miljard dollar door FireEye werd overgenomen, een rapport over een geavanceerde hackergroep die de naam "APT1" kreeg.
De activiteiten van deze groep kwamen volgens Mandiant uit hetzelfde gebied waar ook een Chinese legereenheid opereert, genaamd Unit 61398. Het securitybedrijf concludeerde dat in een land waar de overheid al het internetverkeer monitort het 'zeer onwaarschijnlijk' is dat de Chinese overheid niet van een groep weet die zoveel aanvallen uitvoert in een gebied waar ook een Chinese legereenheid actief is. Aan de hand van vergelijkingen tussen APT1 en Unit 61398 stelde Mandiant dat er of een geheime organisatie actief is die hetzelfde doet als Unit 61398, of dat APT1 Unit 61398 is.
Onlangs verscheen er een nieuw boek van Sanger genaamd "The Perfect Weapon: War, Sabotage, and Fear in the Cyber Age", waarin ook het onderzoek van Mandiant wordt genoemd. De verslaggever claimt in het boek dat Mandiant de Chinese legereenheid heeft teruggehackt om zo camera's op de laptops van de hackers in te schakelen. Iets dat FireEye in een verklaring ontkent. "We hebben dit niet gedaan en ook nooit gedaan. Mandiant heeft geen "terughack" technieken toegepast als onderdeel van ons onderzoek naar APT1", aldus de verklaring.
Volgens het securitybedrijf heeft de New York Times-verslaggever de beelden die hij over de operatie te zien kreeg verkeerd begrepen. In de video's die Mandiant publiceerde waren APT1-operators te zien die met de malware-servers verbinding maakten. Ook werd het browsegedrag van de operators op deze servers opgenomen. De beelden wekken de suggestie dat er live wordt meegekeken, maar volgens FireEye zijn de video's niet gemaakt door terug te hacken.
De beelden werden juist gemaakt dankzij informatie die via security-monitoring was verkregen, zoals opgeslagen netwerkverkeer bij de gehackte organisaties. Het gaat onder andere om het opgeslagen netwerkverkeer van een Remote Desktop Protocol-sessie die in de video's te zien was. "Mandiant heeft nooit de webcam van een aanvaller of gehackt systeem ingeschakeld", besluit de verklaring.
Deze posting is gelocked. Reageren is niet meer mogelijk.