Pada musim panas 2005, Tan Dailin adalah mahasiswa pascasarjana berusia 20 tahun di Universitas Sains dan Teknik Sichuan ketika ia menjadi perhatian Tentara Pembebasan Rakyat Tiongkok.
Tan adalah bagian dari yang sedang berkembang peretas Komunitas yang dikenal sebagai Honkers-Tenaga dan Twentysomethings di akhir tahun 90-an dan awal ’00-an Cina yang membentuk kelompok-kelompok seperti Green Army dan Evil Octal dan meluncurkan patriotik serangan cyber Terhadap target Barat yang mereka anggap tidak sopan kepada Cina. Serangan itu adalah sophistication rendah-kebanyakan defacements situs web dan operasi penolakan yang menargetkan operasi di AS, Taiwan, dan Jepang-tetapi para penjelajah memajukan keterampilan mereka dari waktu ke waktu, dan Tan mendokumentasikan petualangannya dalam posting blog. Setelah menerbitkan tentang target peretasan di Jepang, PLA datang menelepon.
Tan dan teman-teman universitasnya didorong untuk berpartisipasi dalam kontes peretasan yang berafiliasi dengan PLA dan memenangkan tempat pertama. PLA mengundang mereka ke kamp pelatihan peretas yang intens, dan dalam beberapa minggu Tan dan teman -temannya sedang membangun alat peretasan, mempelajari teknik infiltrasi jaringan, dan melakukan serangan simulasi.
Garis waktu acara berikutnya tidak jelas, tetapi Tan, yang pergi dengan peretas yang menangani Rose Wicked dan Withered Rose, kemudian meluncurkan grup peretasannya sendiri – Jaringan Crack Program Hacker (NCPH). Grup ini dengan cepat mendapatkan ketenaran karena memenangkan kontes peretasan dan mengembangkan alat peretasan. Mereka menciptakan Ginwui Rootkit, salah satu backdoors akses jarak jauh pertama di China dan kemudian, para ahli percaya, menggunakannya dan puluhan eksploitasi nol hari yang mereka tulis Dalam serangkaian peretasan “belum pernah terjadi sebelumnya” Terhadap perusahaan AS dan entitas pemerintah selama musim semi dan musim panas 2006. Mereka melakukan ini atas nama PLA, menurut Adam Kozy, yang melacak Tan dan peretas Cina lainnya selama bertahun -tahun sebagai mantan analis FBI yang sekarang mengepalai perusahaan konsultan Sinacyber, yang berfokus pada Tiongkok.
Tan mengungkapkan secara online pada saat itu bahwa ia dan timnya dibayar sekitar $ 250 sebulan untuk peretasan mereka, meskipun ia tidak mengatakan siapa yang membayar atau apa yang mereka retas. Gaji meningkat menjadi $ 1.000 sebulan setelah musim panas mereka peretasan, menurut laporan 2007 oleh mantan perusahaan intelijen ancaman Verisign Idefense.
Pada titik tertentu, Tan beralih tim dan mulai berkontraksi untuk Kementerian Keamanan Negara (MSS), Badan Intelijen Sipil China, sebagai bagian dari kelompok peretasan terkenal yang dikenal sebagai Apt 41. Dan pada tahun 2020, ketika Tan berusia 36, Departemen Kehakiman AS AS mengumumkan dakwaan terhadapnya dan dugaan 41 anggota yang tepat untuk meretas lebih dari 100 target, termasuk sistem pemerintah AS, organisasi perawatan kesehatan, dan telekomunikasi.
Jalan Tan menuju Apt 41 tidak unik. Dia hanyalah salah satu dari banyak mantan pembantu yang memulai karier mereka sebagai peretas patriotik mandiri sebelum diserap oleh negara ke dalam alat memata-matai besar-besaran.
Tidak banyak yang telah ditulis tentang Honkers dan peran penting mereka dalam operasi APT Tiongkok, di luar Kesaksian Kongres Kozy memberi pada tahun 2022. Tapi a Laporan Baruyang diterbitkan bulan ini oleh Eugenio Benincasa, peneliti senior cyberdefense di Pusat Studi Keamanan di Universitas ETH Zürich di Swiss, memperluas pekerjaan Kozy untuk melacak hari -hari awal pembantu dan bagaimana kelompok pemuda terampil ini menjadi beberapa dunia maya paling produktif di Tiongkok.
“Ini bukan hanya tentang [Honkers] Menciptakan budaya peretas yang secara implisit selaras dengan tujuan keamanan nasional, “kata Benincasa,” tetapi juga hubungan pribadi yang mereka ciptakan [that] Kami masih melihat tercermin dalam APT hari ini. “
Dini hari
Komunitas Honker sebagian besar dimulai ketika China bergabung dengan Internet pada tahun 1994, dan jaringan yang menghubungkan universitas dan pusat penelitian di seluruh negeri untuk berbagi pengetahuan membuat siswa Cina online sebelum seluruh negara. Seperti peretas AS, Honkers adalah penggemar teknologi otodidak yang berbondong-bondong ke papan buletin elektronik (forum dial-up) untuk berbagi pemrograman dan tips peretasan komputer. Mereka segera membentuk kelompok -kelompok seperti Xfocus, China Eagle Union, dan Honker Union of China dan kemudian dikenal sebagai peretas merah atau pembeli, nama yang berasal dari kata Mandarin “Hong,” untuk merah, dan “heike,” untuk pengunjung gelap – istilah Cina untuk peretas.
Kelompok-kelompok itu memerintah sendiri dengan hierarki yang terbentuk secara longgar dan bahkan memiliki kode etik yang dibentuk oleh anggota berpengaruh seperti peretas Taiwan Lin Zhenglong (dikenal dengan pegangannya “Coolfire”). Lin percaya bahwa keterampilan peretasan harus dibudidayakan hanya untuk memperkuat cyberdefenses – untuk mempelajari cara -cara peretas untuk menggagalkan mereka – dan menulis manual peretasan yang berpengaruh “untuk meningkatkan kesadaran tentang pentingnya keamanan komputer, bukan untuk mengajari orang cara memecahkan kata sandi.”
Tidak ada lingkungan yang disimulasikan bagi peretas untuk membangun keterampilan mereka pada saat itu, sehingga pembawa acara sering menggunakan jaringan nyata. Lin tidak menentang hal ini – pengosongan tidak ilegal di Cina kecuali melawan pemerintah, pertahanan, atau jaringan penelitian ilmiah – tetapi ia menerbitkan serangkaian pedoman etika yang menasihati peretas untuk menghindari sistem pemerintah atau menyebabkan kerusakan permanen dan memulihkan sistem ke kondisi aslinya setelah Honkers selesai meretasnya.
Tetapi pedoman ini segera jatuh, mengikuti serangkaian insiden yang melibatkan penghinaan asing ke Cina. Pada tahun 1998, gelombang kekerasan di Indonesia pecah terhadap etnis Tionghoa di sana, dan kelompok-kelompok honker yang marah merespons dengan defacements situs web yang terkoordinasi dan serangan penolakan layanan terhadap target pemerintah Indonesia. Tahun berikutnya, setelah Presiden Taiwan Lee Teng-Hui mengumumkan miliknya Teori dua negara Menantang satu doktrin China Partai Komunis, para pembawa acara merusak situs -situs pemerintah Taiwan dengan pesan -pesan patriotik yang menyatakan keberadaan Cina yang bersatu.
Pada tahun 2000, setelah peserta di sebuah konferensi di Jepang membantah fakta -fakta di sekitar pembantaian Nanjing, di mana sekitar 300.000 orang Cina tewas selama pendudukan Jepang tahun 1930 -an di kota itu, para pencuri mengedarkan daftar lebih dari 300 pemerintah Jepang dan situs perusahaan, bersama dengan alamat email pejabat Jepang, dan mendorong anggota untuk menargetkan mereka.
Yang disebut cyberwars patriotik memberi para pembeli sebagai penyebab umum yang menempa identitas yang unik dari kelompok peretasan Barat, yang telah ditiru oleh para penjelajah sampai saat itu. Di mana peretas Barat terutama termotivasi oleh rasa ingin tahu, tantangan intelektual, dan hak -hak menyombongkan diri, para pembela terikat atas tujuan bersama mereka untuk membantu Cina “bangkit”. Dalam kata -kata janji China Eagle Union, Honkers bersumpah “untuk menempatkan kepentingan bangsa Cina di atas segalanya.”
Perang Patriotik menempatkan para penjahat China di peta dan lebih menginspirasi untuk bergabung dengan mereka. Honker Union membengkak menjadi sekitar 80.000 anggota, Green Army menjadi 3.000. Sebagian besar hanyalah penggemar dan pencari petualangan, tetapi subset menonjol karena keterampilan kepemimpinan dan peretasan. Kelompok yang sangat berpengaruh di antara ini, yang oleh Benincasa disebut Red 40, akan melanjutkan atau bergabung dengan banyak perusahaan cybersecurity dan teknologi terkemuka China dan menjadi bagian integral dari mesin cyberspy negara.
Tidak ada bukti bahwa pemerintah mengarahkan operasi peretasan patriotik, kata Benincasa, tetapi aktivitas mereka selaras dengan kepentingan negara, dan mereka menarik perhatian pemerintah. Seorang pensiunan laksamana belakang Tentara Pembebasan Rakyat dan mantan profesor di PLA National Defense University memuji patriotisme mereka. Publik juga tampak mendukungnya. Sebuah laporan mengklaim bahwa 84 persen pengguna internet di China menyukai peretasan patriotik.
Namun pada bulan April 2001, ini mulai berubah setelah jet tempur Cina memotong pesawat pengintaian AS di lepas pantai Hainan dan memicu insiden internasional. Tabrakan itu menewaskan pilot Cina dan memaksa pesawat AS untuk mendarat di Hainan, di mana militer Tiongkok merebut pesawat itu dan menahan kru selama lebih dari seminggu. Insiden itu memicu sentimen nasionalis di antara peretas AS dan Tiongkok, dan kedua belah pihak melemparkan serangan siber terhadap sistem negara lain.
Pemerintah Cina menjadi prihatin dengan kurangnya kendali atas pembasihan dan takut mereka bisa menjadi tanggung jawab dan meningkatkan ketegangan. Surat kabar resmi Partai Komunis Tiongkok menyamakan peretasan dengan “terorisme web,” dan kepala Internet Society of China mengeluarkan pernyataan melalui media resmi China yang mengutuknya juga. Laksamana belakang PLA yang sudah pensiun yang sebelumnya memuji kelompok -kelompok itu sekarang memperingatkan mereka adalah ancaman bagi hubungan internasional.
Honkers mendapat pesan, tetapi dengan misi patriotik mereka ditangguhkan, kelompok -kelompok sekarang menjadi kurang kohesif. Ada bentrokan dan ketidaksepakatan kepemimpinan tentang arah dan prioritas – beberapa ingin menjadi profesional dan meluncurkan perusahaan keamanan siber untuk mempertahankan sistem China melawan serangan; Yang lain ingin menjadi nakal dan menjual alat jahat. Mantan kiri untuk bergabung dengan perusahaan teknologi seperti Baidu, Alibaba, dan Huawei atau perusahaan cybersecurity seperti Venustech dan Topsec. Beberapa menjadi pengusaha dan meluncurkan perusahaan keamanan mereka sendiri, seperti NSFocus dan Dikenalsec, yang menjadi pemimpin dalam penelitian kerentanan dan intelijen ancaman. Namun, beberapa bergeser ke kejahatan dunia maya. Dan yang lainnya, seperti Tan, menjadi peretas kontrak untuk PLA dan MSS atau perusahaan yang didirikan yang melayani operasi ini.
Perekrutan Honker
Menurut Benincasa, PLA dan MSS mulai mempekerjakan Honkers sekitar tahun 2003, tetapi perekrutan menjadi lebih terstruktur dan sungguh -sungguh setelah peretasan 2006 yang dikaitkan dengan NCPH dan TAN. Perekrutan diperluas selama dan setelah Olimpiade Beijing 2008 dan kemungkinan dibantu pada tahun 2009 dengan pengesahan Amandemen Hukum Pidana Tiongkok VII, yang mengkriminalisasi intrusi yang tidak sah ke dalam jaringan apa pun serta distribusi alat peretasan.
Forum peretas mulai shutter, dan beberapa pembeli ditangkap. Berita menyebar bahwa Tan ada di antara mereka. Menurut Kozy, Tan menghadapi tujuh setengah tahun penjara, meskipun tidak jelas apakah dia melayani kapan saja. Kozy percaya dia memotong kesepakatan dan mulai bekerja untuk MSS. Pada 2011, tampaknya dia meluncurkan perusahaan antivirus bernama Anvisoftyang mungkin berfungsi sebagai front untuk pekerjaan MSS -nya.
Mantan Honkers Zeng Xiaoyong (Envymask) dan Zhou Shuai (Coldface) juga menjadi kontraktor untuk PLA dan MSS dan bekerja pada operasi yang dilakukan oleh APT 41, APT 17, dan APT 27, menurut Benincasa. Beberapa bekerja melalui perusahaan shell, yang lain bekerja melalui perusahaan -perusahaan sah yang bertindak sebagai perantara untuk layanan intelijen.
Topsec dan Venustech adalah dua perusahaan yang diduga telah membantu upaya ini. Topsec mempekerjakan sejumlah mantan pembeli, termasuk pendiri Honker Union of China, dan pendiri Topsec pernah mengakui dalam sebuah wawancara bahwa PLA mengarahkan perusahaannya. Pada 2015, Topsec dikaitkan dengan operasi cyber yang disponsori negara, termasuk pelanggaran asuransi lagu di AS.
Selama bertahun -tahun, banyak alat yang digunakan oleh China APT Groups dibangun oleh Honkers, dan PLA dan MSS menambang mereka untuk penelitian kerentanan dan mengeksploitasi pengembangan. Pada tahun 1999, Huang Xin (Glacier), anggota Green Army, merilis “Glacier,” Trojan akses jarak jauh. Tahun berikutnya, ia dan Yang Yong (Coolc) dari XFocus merilis X-Scan, alat untuk memindai jaringan untuk kerentanan yang masih digunakan oleh peretas di Cina saat ini. Pada tahun 2003, dua anggota Honker Union merilis HTRAN, sebuah alat untuk menyembunyikan lokasi penyerang dengan mengubah kembali lalu lintas mereka melalui komputer proxy, yang telah digunakan oleh APT China. Tan dan sesama anggota NCPH Zhou Jibing (WHG) diyakini telah menciptakan plugx backdoor pada tahun 2008, yang telah digunakan oleh lebih dari 10 apts Cina. Menurut Benincasa, Zhou mengembangkannya lebih jauh untuk memproduksi Shadowpad, yang telah digunakan oleh Apt 41 dan lainnya.
Selama bertahun-tahun, dakwaan kebocoran dan AS terhadap mantan pembeli telah mengekspos dugaan karier mata-mata pasca-Honker mereka, serta penggunaan perusahaan nirlaba China untuk operasi peretasan negara. Yang terakhir termasuk I-Soon dan Integrity Tech, keduanya diluncurkan oleh mantan Honkers.
Wu Haibo (shutdown), sebelumnya Green Army dan 0x557, diluncurkan I-Soon pada 2010. Dan tahun lalu, seseorang File I-Soon internal yang bocor dan log obrolanMengekspos pekerjaan spionase perusahaan atas nama MSS dan anggota parlemen. Pada bulan Maret tahun ini, delapan karyawan I-Soon dan dua petugas anggota parlemen didakwa oleh KITA Untuk operasi peretasan yang menargetkan lembaga pemerintah AS, kementerian luar negeri Asia, pembangkang, dan outlet media.
Integrity Tech, yang didirikan pada 2010 oleh mantan anggota Angkatan Darat Hijau Cai Jingjing (CBIRD), disetujui oleh AS tahun ini atas hubungan dengan peretasan infrastruktur global.
Tahun ini, AS juga mendakwa mantan anggota Angkatan Darat Hijau Zhou dan Wu karena melakukan operasi peretasan negara dan memberikan sanksi kepada Zhou atas tautan ke Apt 27. Selain terlibat dalam peretasan yang disponsori negara, ia diduga juga menjalankan layanan kebocoran data yang menjual beberapa data yang dicuri kepada pelanggan, termasuk agen intelijen.
Ini tidak seperti peretas AS generasi awal yang juga beralih ke pendiri perusahaan cybersecurity dan juga direkrut oleh Badan Keamanan Nasional dan Badan Intelijen Pusat atau disewa oleh kontraktor untuk melakukan operasi peretasan untuk operasi AS. Tetapi tidak seperti AS, seluruh otoritas intelijen China telah memaksa beberapa warga negara dan perusahaan Tiongkok untuk berkolaborasi dengan negara dalam melakukan spionase, catatan Kozy.
“Saya pikir Cina sejak awal hanya berpikir, ‘Kita bisa berkooptasi [the Honkers] untuk kepentingan negara. ‘”Kozy berkata.” Dan … karena banyak dari pemuda ini memiliki kecenderungan patriotik untuk memulai, mereka agak ditekan ke dalam pelayanan dengan mengatakan,’ Hei, Anda akan melakukan banyak hal yang sangat baik untuk negara ini. ‘ Juga, banyak dari mereka mulai menyadari bahwa mereka bisa menjadi kaya melakukannya. ”
