Peking sade på tisdagen att det “aldrig varit inblandat” i cyberstöld, efter amerikanska anklagelser av fyra kinesiska militärmedlemmar för påstådd inblandning i en massiv hacking 2017 av Equifax kreditvärderingsbyrå. Det amerikanska justitieministeriet anklagade på måndag hackare för att stjäla känslig personlig information från cirka 145 miljoner amerikaner, i ett av de största dataöverträdelserna någonsin i världen. Fyra medlemmar i den kinesiska arméns 54: e forskningsinstitut anklagades för olika anklagelser om hacking, datasvindel, ekonomisk spionage och trådbedrägeri.
Amerikanska tjänstemän sade att det tog mer än ett år att spåra dem genom 34 servrar i 20 länder som de påstås använda för att dölja sina spår.
“Detta är organiserat och mycket modigt kriminellt rån från känslig information om nästan hälften av alla amerikaner, liksom hårt arbete och immateriell egendom för ett amerikanskt företag, av den kinesiska militära enheten,” sade riksadvokaten Bill Barr.
Peking avvisade bestämt anspråk på tisdagen och sade att det var “en ihållande försvarare av cybersäkerhet”.
“Regeringen och den kinesiska armén … har aldrig varit inblandade i eller deltagit i Internet-stöldaktiviteter”, berättade utrikesministeriets talesman Geng Shuang vid en regelbunden presskonferens.
Underrättningsmöte
Hacket chockerade de amerikanska underrättelsetjänstemännen efter en liknande störning i databasen för personalkontor för civilförvaltning (OPM), som också anklagade Kina.
Sedan dess har hotellgiganten Marriott förlorat data om cirka 500 miljoner globala kunder för hackare som tros vara kinesiska.
Amerikanska tjänstemän tror att Kinas militära och säkerhetstjänster samlar in personuppgifter om amerikaner för underrättelsessyften.
Efter hacking av OPM fanns det oro för att Peking kunde använda information för att identifiera amerikanska spioner som arbetar under skydd av icke-underrättelsearbete.
FBI: s biträdande direktör David Bowdich sa att inga bevis för Equifax-data hade använts, till exempel för att kapa en persons bankkonto eller kreditkort.
Men han tillade: “Om du får människors personliga identifieringsinformation kan du göra mycket med det.”
Atlanta-baserade Equifax är en av tre jättar, en liten kreditreglerare som hanterar de ekonomiska uppgifterna för alla amerikaner – särskilt deras kreditkort och bankverksamhet – som naturligtvis kompletteras med identifieringsuppgifter som deras adress och personnummer.
Hackare utnyttjade påstås utnyttja en sårbarhet i Apache Struts webbapplikationsprogramvara som Equifax har på sitt system.
Medan Apache meddelade klienterna om problemet i mars 2017, fixade Equifax det inte på flera månader, vilket tillåter hackare att komma in i sitt system med relativt enkelhet.
De infekterar Equifax-datorer med “webbskal” som ger dem möjlighet att fjärrmanipulera systemet och stjäla identiteter som utökar deras åtkomst.
Undersökare säger att kineserna använder krypterade kanaler runt 9 000 frågor genom Equifax-datorsystemet för att få, dela, komprimera och extrahera data, lite för lite.
USA tror att de misstänkta – Wu Zhiyong, Wang Qian, Xu Ke och Liu Lei – för närvarande befinner sig i Kina.
Skär hörn
I ett uttalande tackade Equifax justitieministeriet för sin hjälp och lovade att bättre skydda konsumentuppgifter.
“Cyberbrott är ett av de största hoten som vår nation står inför idag, och detta är en pågående strid som kommer att fortsätta att möta varje företag när attackerare blir mer sofistikerade,” sade han.
Men senator Ron Wyden sa att en lösning var att genomföra starkare sekretesslagar för att tvinga fram bättre företagens beteende.
“När företag som Equifax samlar in mycket känslig personlig information och sedan klipper hörn på säkerheten, blir de ett oemotståndligt mål för en ogästvänlig regim som Kina,” sade han.
Förutom information om amerikaner, tryckte hackare personlig information om nästan en miljon briter och kanadensare i brottet.
Barr sa att medan många länder samlade underrättelse av nationella säkerhetsskäl, bara Kina sopade bort massiva uppgifter om civila.
“Under åren har vi bevittnat Kinas glupiga aptit på amerikanska personuppgifter,” sade han.
“Dessa uppgifter har ekonomiskt värde, och denna stöld kan mata utvecklingen av kinesiska tillverkade underrättelsesverktyg och skapa intelligensinriktningspaket.”
