PLA Strategic Support Force - SecMeter

Yhdistämällä toisiinsa liittyvät tehtävät, kuten avaruus-, kyber-, elektroninen sodankäynti ja psykologinen sodankäynti yhden komennon alaisuuteen helpotettiin yhteisiä operaatioita ja tehostettiin verkkokeskeisen sodankäynnin ja informaatiotilan hallintaa.

Kiinan johtajan Xi Jinping antoi puheessaan uudelle ISF, Information Support Force organisaatiolle suuren vastuun armeijan korkean kehitystason edistämisestä ja modernin sodan voittamisesta.

ISF:n tehtävänä on varmistaa sujuva ja esteetön tiedonkulku integroidun verkkotietojärjestelmän avulla. ISF:ää täydentävät kyberavaruusjoukot ottavat vastaan kyberhyökkäys-, puolustus- ja vakoilutehtävät entiseltä SSF:n verkkojärjestelmäosastolta.

PLA:n mukaan kyberturvallisuus on globaali haaste ja vakava uhka Kiinalle. Kyberavaruusjoukkojen ja kyberturvallisuus- ja puolustuskeinojen kehittäminen ovat tärkeitä kansallisen kyberrajapuolustuksen vahvistamisessa, verkkotunkeutumisten havaitsemisessa ja torjunnassa sekä kansallisen kybersuvereniteetin ja tietoturvallisuuden ylläpitämisessä.

Kiinan kansanarmeija katsoo, että voitto saavutetaan tiedon kautta. Nykyaikainen sota on järjestelmien välinen yhteenotto ja järjestelmien välinen kilpailu. Se, jolla on informaatioylivoima, pitää aloitteen sodassa.  Tämä uusi uudistus pyrkii viemään PLA:ta kohti tätä kestävää tavoitetta.

PLA toimii "kattorakenteena" tiedustelulle, joka liittyy informaatioon ja teknologiaan. Sillä on keskeinen rooli mahdollisessa "tulevaisuuden sodankäynnissä", jossa kyberhyökkäykset, satelliittien tuhoaminen ja digitaalinen propaganda voivat ratkaista konfliktin jopa ilman perinteistä taistelua.

Network Systems Department (NSD) oli yksi kahdesta Kiinan kansanarmeijan pääosastosta Strategic Support Forcessa (SSF), mutta tilanne muuttui huhtikuussa 2024 tapahtuneen uudelleenjärjestelyn myötä.

SSF Strategic Support Force lakkautettiin ja NSD on nykyisin osa uutta haaraa nimeltä PLA Cyberspace Force, jossa kehitetään ja toteutetaan kyberoperaatioita sekä johdetaan Kiinan kybervakoilua ja verkkohyökkäyksiä.

Network Systems Department (NSD) vastasi aiemmista kyberoperaatioista, hyökkäyksistä, puolustuksesta ja tiedustelusta. Yksikön alaisuudessa toimi todennäköisesti myös kansainvälisistä kyberhyökkäyksistä tunnettu yksikkö 61398.

• Yksikkö 61398 (APT 1) on Shanghain Pudongin alueella sijaitseva salainen sotilaallinen hakkeriyksikkö.
• Yksikkö 61486 (Putter Panda) jäi kiinni amerikkalaisiin, japanilaisiin ja eurooppalaisiin yrityksiin suoritetuista tietomurroista.
• Yksikkö 61726 (Kuudes toimisto) on Wuhanin alueella Hubein maakunnassa sijaiteva hakkerijoukko, joka on omistautunut erityisesti Taiwaniin kohdistuvaan kybersodankäyntiin.
• Yksikkö 61786 (Kahdeksas toimisto) on Yan- vuoriston juurella sijaitseva tietotekniikan tutkimuslaitos, joka vastaa Venäjältä ja Keski-Aasiasta tulevien viestien sieppaamisesta.
• Yksikkö 61716 on kansan vapautusarmeijan tukikohta 311, joka sijaitsee Fuzhoun Guloun alueella Fujianin maakunnassa. Yksikkö suorittaa ”kolmen sodankäynnin” operaatioita Taiwania vastaan. Kolme sodankäyntiä ovat "Yleisen mielipiteen sodankäynti”, ”Psykologinen sodankäynti” ja ”Laillinen sodankäynti”

PLA:n hyökkäystaktiikat

Kiinan kyberjoukot murtautuvat kyberavaruuteen varastaakseen tietoja ja suorittaakseen tunkeutumisia. Murtautumistekniikat ovat yhä kehittyneempiä.

Kiina suorittaa joka vuosi miljoonia kyberhyökkäyksiä. Vaikka monet näistä hyökkäyksistä on havaittu ja estetty tehokkaasti, hyökkäysten lisääntyminen osoittaa Kiinan hakkerointitoiminnan nousujohteisen luonteen.

Erilaisia hakkerointitekniikoita soveltamalla Kiina suorittaa tiedustelua, suorittaa kyberväijytyksiä ja varastaa tietoja. Läntiset viranomaiset kehottavat kaikkialla kansalaisiaan ottaman kyberturvallisuuden vakavasti ja pysymään valppaina Kiinan aiheuttamia kyberuhkia vastaan.

Vuonna 2010 Kiinan kansantasavalta aloitti uusien vakoiluohjelmistojen kehittämisen turvaluokiteltujen tietojen varastamiseksi Internetissä. Ohjelmistot kehitettiin automaattisilla toiminnoilla ja ne pystyvät muuttamaan tietojen salausta, piilottamaan siirtokanavia ja torjumaan hyökkäysten jäljitysyrityksiä.

Kiinan verkkohyökkäykset Taiwania vastaan ovat intensiivisiä. Taiwan torjuu PLA:n verkkohyökkäyksiä kehittämällään ohjelmistolla, joka tunnistaa automaattisesti kiinalaiset merkit ja allekirjoitukset kiinalaisista verkkohyökkäyksistä. Ohjelman on kehittänyt NSB (National Security Bureau) Taiwan.

Kiinan kyberjoukot pyrkivät murtautumaan mm. puolustustarvikeketjujen ja Internet-palveluntarjoajien järjestelmiin. Käytetyt tekniikat sisältävät kehittyneitä APT-hyökkäyksiä, tietojenkalasteluviestejä sekä nollapäivän haavoittuvuuksia, troijalaisia ja takaovia. Kiina käyttää esimerkiksi Living off-the-land -tekniikkaa välttääkseen verkon puolustusjärjestelmien havaitsemisen.

Living off-the-land (LOTL) on APT-kyberhyökkäystermi, jolla viitataan siihen, että hyökkääjät elävät maastossa eli käyttävät järjestelmän omia resursseja ilman näkyviä haittaohjelmia selviytyäkseen.

Living off-the-land -hyökkäystekniikassa hyökkääjät käyttävät hyväksi kohdejärjestelmän omia, laillisia työkaluja ja ominaisuuksia esimerkiksi järjestelmäkomentoja, skriptejä ja hallintatyökaluja päästäkseen tavoitteisiinsa, kuten tiedon varastamiseen, pysyvyyden saavuttamiseen tai liikkumiseen verkossa, ilman että heidän tarvitsee ladata ulkopuolisia haittaohjelmia, jotka voisi helposti havaita.

Living off-the-land -hyökkäystekniikka tekee hyökkäyksen havaitsemisesta ja torjumisesta erittäin vaikeaa. Se tarjoaa valtiollisille toimijoille mahdollisuuden toimia järjestelmässä huomaamattomasti ja pidempään.

Kiinan kyberjoukot suorittavat DDoS-hyökkäyksiä yhteiskunnan palvelusektoreita kuten pankkeja vastaan. Yksityisten yhteistyöorganisaatioiden tuella Kiinan kyberjoukot tekevät myös kyberhyökkäyksiä käyttämällä lunnasohjelmia tai muita kyberrikollisuuden tekniikoita.

Kiinan kyberjoukot murtautuvat maailmanlaajuisesti korkean teknologian startup-yrityksiin tavoitteena varastaa patentoituja teknologioita ja saada taloudellista hyötyä.

Kiinan kyberjoukot varastavat myös henkilötietoja ja myyvät niitä pimeässä verkossa ja hakkerifoorumeilla. Tällaisilla liikkeillä pyritään saamaan voittoa Hack & Leakin tekniikoiden avulla.

Hack & Leak -tekniikka tarkoittaa kyberoperaatiota, jossa hyökkääjät murtautuvat (hack) tietojärjestelmään, varastavat tietoa, ja sen jälkeen vuotavat (leak) tämän tiedon julkisuuteen lehdistön tai sosiaalisen median kautta. Taustalla voivat olla poliittiset, strategiset tai propagandistiset syyt.

PLA:n kybervakoilun tunnetuimmat tapaukset

Unit 61398, tunnetaan myös nimellä APT1

Yhdysvaltalainen kyberturvayhtiö Mandiant julkaisi vuonna 2013 raportin, jossa se yhdisti PLA:n yksikön 61398 laajaan kybervakoilukampanjaan. Yksikkö sijaitsee Shanghaissa ja sitä epäillään tietojen varastamisesta yli 140 organisaatiolta eri teollisuudenaloilta, kuten energia-, ilmailu- ja teknologia-aloilta. Hyökkäykset ovat kohdistuneet erityisesti englanninkielisiin maihin, ja yksikkö on pysynyt uhrien järjestelmissä keskimäärin 356 päivää.

APT10 Loud Hopper -operaatio (2014–2017)

APT10 oli maailmanlaajuinen kybervakoilukampanja, jonka kohteena ovat kymmenet valtiot, erityisesti USA, Eurooppa ja Japani. Hyökkäykset kohdistuivat pilvipalveluihin, yritysverkkoihin ja erityisesti Managed Service Provider -yrityksiin. APT10 murtautui raportiudusti mm. IBM:n ja HPE:n infrastruktuuriin ja sitä kautta satoihin yrityksiin eri puolilla maailmaa.

Kybervakoiluryhmä murtautui IT-palveluyritysten järjestelmien kautta asiakasyritysten tietoihin. Hyökkäyksissä käytettiin spear-phishing-menetelmiä, etäkäyttötyökaluja (RAT, kuten QuasarRAT, PlugX). Kun pääsy saatiin IT-palveluntarjoajaan, laajennettiin hyökkäysketju asiakkaiden järjestelmiin. Tämä piirre teki toiminnasta erittäin tehokasta ja laaja-alaista.

Joulukuussa 2018 Yhdysvallat syytti julkisesti APT10:tä ja nosti syytteet kahta kiinalaista hakkeria (Zhu Hua ja Zhang Shilong) vastaan, joiden katsottiin toimineen Kiinan valtion puolesta. Myös Iso-Britannia, Japani, Australia, Kanada ja EU tukivat julkisesti USA:n syytöksiä. Kyseessä oli yksi harvoista tapauksista, joissa lähes koko läntinen maailma reagoi koordinoidusti Kiinan kybertoimintaan.

Unit 61486 ja "Putter Panda" -operaatio

CrowdStrike-kyberturvayhtiö paljasti vuonna 2014, että PLA:n yksikkö 61486, lempinimeltään "Putter Panda", on kohdistanut hyökkäyksiä erityisesti Yhdysvaltain satelliitti- ja ilmailualan yrityksiin. Yksikön jäsen, Chen Ping, paljasti vahingossa henkilöllisyytensä blogikirjoituksissaan, joissa hän julkaisi kuvia ja tietoja, jotka yhdistivät hänet suoraan PLA:n toimintaan.

Su Bin -tapaus

Kiinalainen liikemies Su Bin pidätettiin Kanadassa ja tuomittiin Yhdysvalloissa osallistumisesta C-17-sotilaskuljetuskoneen suunnittelutietojen varastamiseen. Su Bin toimi välikätenä PLA:n ja hakkereiden välillä, jotka murtautuivat Yhdysvaltain puolustusurakoitsijoiden järjestelmiin. Tapaus johti Kiinan ja Yhdysvaltojen väliseen sopimukseen kybervakoilun vähentämisestä vuonna 2015, mutta toiminta on sittemmin jälleen lisääntynyt.

RedFoxtrot ja Unit 69010

Recorded Future -yhtiön Insikt Group yhdisti PLA:n yksikön 69010 laajoihin kybervakoilukampanjoihin, jotka ovat kohdistuneet erityisesti Intiaan ja sen naapurimaihin. Hyökkäykset ovat kohdistuneet muun muassa ilmailu-, puolustus- ja televiestintäaloihin, ja niissä on käytetty erilaisia haittaohjelmia, kuten PlugX ja ShadowPad.

Kiinan valtion tukemat hakkeriryhmät
Kiinan valtion tukemat hakkeriryhmät ovat toistuvasti nousseet esiin laajoissa vakoilu- ja hyökkäyskampanjoissa. Näiden ryhmien tavoitteet vaihtelevat teollisuusvakoilusta poliittiseen tiedusteluun ja taloudelliseen sabotaasiin. Kiinan pitkäjänteinen strategia digitaalisen vaikuttamisen ja tiedustelun saralla on nostanut sen yhdeksi vaikutusvaltaisimmista kyberpelureista maailmassa.

Kiinan APT-ryhmien tausta ja motiivit

Kiinalaiset hakkeriryhmät tunnetaan usein APT- (Advanced Persistent Threat) -tunnisteilla. Ne ovat usein Kiinan valtion turvallisuusviranomaisten, kuten MSS:n (Ministry of State Security) tai PLA:n (People’s Liberation Army), alaisuudessa toimivia yksiköitä. Ryhmien toiminta perustuu Kiinan strategiseen tavoitteeseen saavuttaa teknologista ylivoimaa, valvoa sisäisiä ja ulkoisia vastustajia sekä vaikuttaa globaalisti poliittisiin prosesseihin. Kybertoiminta mahdollistaa tämän kustannustehokkaasti, usein paljastumatta.

Tunnetuimmat ryhmät

Yksi tunnetuimmista kiinalaisista hakkeriryhmistä on APT10 (Stone Panda), joka tuli tunnetuksi "Cloud Hopper" -operaatiosta. Tässä kampanjassa ryhmä murtautui lukuisiin kansainvälisiin IT-palveluntarjoajiin ja sitä kautta satoihin asiakasorganisaatioihin, varastaen laajasti immateriaalioikeuksia ja liikesalaisuuksia.

APT1 (Comment Crew), yhdistetty Kiinan PLA:n yksikköön 61398, on yksi varhaisimmista ja laajimmin raportoituja ryhmiä, joka keskittyi etenkin teollisuusvakoiluun. APT3 ja APT27 puolestaan ovat hyödyntäneet monipuolisesti kehittyneitä haittaohjelmia ja nollapäivähaavoittuvuuksia esimerkiksi energia- ja tietoliikennesektoreilla.

APT31 (Violet Typhoon) edustaa poliittista vakoilua. Ryhmän kohteina ovat olleet EU:n ja Yhdysvaltojen hallinnot, tutkijat ja median edustajat. Tämä ryhmä on erikoistunut tarkasti kohdennettuihin phishing-kampanjoihin ja käyttää laajasti avoimia lähteitä (OSINT) hyökkäysten suunnittelussa.

Storm-ryhmät

Viime vuosina Microsoft on tunnistanut ja nimennyt uusia, aiemmin tuntemattomia kiinalaisia ryhmiä Storm--etuliitteellä. Näistä erityisesti Storm‑2603 on noussut esiin vuonna 2025 havaittujen SharePoint-haavoittuvuuksien (mm. CVE-2025-49704) hyväksikäytön yhteydessä. Tämä ryhmä ei ole pelkästään vakoillut, vaan se on käyttänyt ransomwarea (esim. Warlock ja LockBit), mikä viittaa valtiollisen ja rikollisen toiminnan yhdistymiseen.

Hybridiryhmät ja valtiollinen rikollisuus

Erityishuomiota ansaitsee APT41 (tunnetaan myös nimellä Winnti Group), joka yhdistää valtiollisen vakoilun ja taloudellisten motiivien ohjaaman rikollisuuden. Ryhmä on hyökännyt peliyhtiöihin, lääkeyhtiöihin ja valtionhallintoihin, ja sen toiminta osoittaa, kuinka kyberrikollisuus voi toimia osana valtion laajempaa strategista agendaa.

Vaikutukset ja kansainvälinen reagointi

Kiinan kybertoiminta on aiheuttanut laajaa vahinkoa. Immateriaalioikeuksien varkaudet ovat heikentäneet länsimaisten yritysten kilpailukykyä, ja poliittinen vakoilu on horjuttanut luottamusta digitaalisiin verkostoihin. Vastauksena monet länsimaat ovat tiukentaneet kyberturvallisuusvaatimuksiaan, perustaneet kyberpuolustusyksiköitä ja langettaneet pakotteita yksittäisille kiinalaisille toimijoille. Lisäksi Microsoft ja muut teknologiayritykset ovat alkaneet raportoida ryhmien toimista avoimesti. Tämä lisää tietoisuutta ja auttaa yrityksiä suojautumaan.