Chińczycy najchętniej atakują USA, ponieważ amerykańskie korporacje, szczególnie zbrojeniowe, dysponują najnowszą technologią na świecie.
Operacja Aurora
Kluczowa rola Chińczyków w szpiegostwie cyfrowym została nagłośniona w 2010 roku przez Google, która przebadała i ujawniła szczegóły operacji wymierzonej przeciwko jej serwerom. W wyniku włamania hakerzy zdobyli fragmenty kodu źródłowego aplikacji Google, a także przetrząsnęli i skopiowali zawartość skrzynek e-mailowych dysydentów walczących z chińską dyktaturą.
W czasie tego ataku, który został przez hakerów nazwany operacją Aurora, Chińczycy zaatakowali nie tylko Google, ale także kilkadziesiąt innych z listy 500 największych amerykańskich firm, m.in.: Adobe, Symantec, Juniper Networks, Dow Chemicals czy Northrop Grumman.
Grupa Elderwood
Analiza adresów IP i kodu samych eksploitów poprowadziła analizujących atak ekspertów Symanteca do Pekinu. Tam rezyduje grupa hakerów związana z Chińską Armią Ludowo-Wyzwoleńczą i wykonuje rozkazy z biura politycznego, najwyższego szczebla w strukturze władzy. Ta sama grupa jest odpowiedzialna za ponad 1000 innych ataków hakerskich. Celem jej działań jest nie tylko kradzież plików z własnością intelektualną. Grupa stara się także o pozyskanie informacji ułatwiających dalsze włamania.
Hakerzy włamują się też, by poznać strategię negocjacyjną. Przykładem może być atak na Coca-Colę w 2009 roku, który zbiegł się w czasie z próbą przejęcia dużego chińskiego producenta soków, Huiyuan Juice Group, przez tę korporację.
Jednostka nr 61 398
Atak na Coca-Colę był dziełem innej znanej chińskiej grupy hakerskiej – Comment Crew. Została nazwana w taki sposób ze względu na chętnie używaną technikę umieszczania eksploitów w komentarzach do kodu HTML. Po przeanalizowaniu ponad 140 przypisywanych jej włamań od 2006 roku analitycy Mandiant powiązali ekipę z jednostką wojskową Armii Ludowo-Wyzwoleńczej nr 61 398, która podlega bezpośrednio sztabowi generalnemu.
Geolokacja adresów IP zaprowadziła analityków do zlokalizowanego na przedmieściach Szanghaju budynku biurowego, który jak się okazało, jest wyposażony w zaawansowaną, światłowodową infrastrukturę telekomunikacyjną.
Jednostka nr 61 398 atakuje nie tylko biznes. W ostatnich latach w coraz większym stopniu interesuje się organizacjami, które administrują siecią energetyczną, wodną i innymi elementami kluczowej dla funkcjonowania państwa infrastruktury. Comment Crew wzięła także udział w głośnym ataku na firmę RSA, która dostarcza rozwiązania kryptograficzne. Wskutek udanego ataku wykradziono klucze pozwalające na złamanie zabezpieczeń w sieciach klientów RSA, co kosztowało firmę 66 mln dolarów, jakie musiała wydać na naprawę szkód.
Atak na sieć
Skuteczność chińskich ataków bierze się przede wszystkim z doskonale opracowanego malware, przed którym bardzo trudno się bronić. To konsekwencja użycia tzw. zero-day-exploits, czyli luk w zabezpieczeniach, które nie zostały jeszcze odkryte. Przez taką lukę wprowadzany jest do systemu kod przejmujący kontrolę nad komputerem ofiarą, penetrujący następnie zabezpieczenia całej sieci w organizacji. W najgorszym dla ofiary wypadku, jeśli hakerowi uda się spenetrować serwer kontrolujący całą sieć, zyskuje dostęp do wszystkich danych korporacji. Taki przebieg miało włamanie do redakcji Washington Post. W efekcie chińscy hakerzy przez trzy lata (2009–11) mieli dostęp do serwera zarządzającego kontami dziennikarzy i do wszystkich informacji w ich komputerach.
Atak na Coca-Colę był dziełem innej znanej chińskiej grupy hakerskiej – Comment Crew. Została nazwana w taki sposób ze względu na chętnie używaną technikę umieszczania eksploitów w komentarzach do kodu HTML. Po przeanalizowaniu ponad 140 przypisywanych jej włamań od 2006 roku analitycy Mandiant powiązali ekipę z jednostką wojskową Armii Ludowo-Wyzwoleńczej nr 61 398, która podlega bezpośrednio sztabowi generalnemu.
