Overslaan en naar de inhoud gaan

Fox-IT ontdekt wereldwijde Chinese cyberspionage

Chinese staatshackers zijn de afgelopen jaren binnengedrongen in de computersystemen van tientallen bedrijven en overheidsinstellingen over de hele wereld. Ook in Nederland zijn ze gesignaleerd, bij Nederlandse vestigingen van buitenlandse ondernemingen.
Frank Groenewegen
© Fox-IT
Fox-IT

Dat zegt beveiliger Fox-IT, dat de aanvallen ontdekte en zijn onderzoek ernaar donderdag naar buiten bracht. Nederlandse bedrijven zelf zijn voor zover nu bekend buiten schot gebleven.

Volgens Fox-IT is de aanval mogelijk uitgevoerd door een schimmige hackersgroep die APT20 wordt genoemd. De aanvallers waren al jaren actief. Hoeveel data ze precies hebben buitgemaakt, is niet na te gaan.

Namen van gedupeerde instanties noemt Fox-IT niet, wel de sectoren waarin ze actief zijn. Het gaat onder meer om luchtvaartondernemingen, bouwbedrijven, de energiesector, financiële instellingen, vervoerders en softwaremakers. De hoofdkantoren van de bedrijven staan onder meer in Duitsland, Frankrijk, de Verenigde Staten, Groot-Brittannië, Brazilië en Spanje. De hackers waren niet uit op geld maar op kennis waarvan waarschijnlijk de Chinese staat kan profiteren.

Tweefactorauthenticatie misbruikt

De hackers gebruikten verschillende technieken om binnen te komen en binnen te blijven. Eén daarvan was nieuw: ze misbruikten een vorm van tweefactorauthenticatie. Sommige bedrijven hadden keurig ingesteld dat medewerkers bij het inloggen nog een toegestuurde code moesten invoeren, om misbruik te voorkomen. Juist dat systeem kon worden misbruikt. De hackers konden zelf de code aanmaken. Feitelijk konden ze zichzelf toestemming geven om in te loggen bij de slachtoffers.

Tijdens hun spionagewerk maakten de hackers een paar fouten, waardoor ze ‘vingerafdrukken’ achterlieten. Zo had een van de aanvallers de eigen instellingen niet goed afgeschermd. De browser die de hacker gebruikte, stond ingesteld op de Chinese taal. Bij de registratie van een gehuurde server gaven ze een verzonnen Amerikaans adres op, maar daarbij schreven ze per ongeluk de naam van de staat Louisiana in Chinese karakters. Bovendien gebruikten de hackers een code die alleen op een Chinees forum te vinden was.

Chinese kantoortijden vielen op

Het begon Fox-IT na een tijdje ook op te vallen dat de hackers zich heel stipt aan Chinese kantoortijden hielden. "Wij wisten op een gegeven moment dat we om 3.00 uur ‘s nachts aan het werk moesten, omdat ze toen daar begonnen", zegt directeur Frank Groenewegen van Fox-IT.

De kers op de taart was de reactie van een van de cyberspionnen, die na een tijdje terugkwam bij een gedupeerde organisatie. Alle achterdeurtjes waren inmiddels gevonden en verwijderd, Fox-IT had de digitale inbraak ongedaan gemaakt. De hacker probeerde op de gebruikelijke manier binnen te komen, maar ontdekte dat hij voor een dichte deur stond. Geen enkele poging om in te loggen lukte. Gefrustreerd tikte hij vijf tekens in: wocao, Chinese straattaal voor 'shit'.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in