Beheer

Security
Frank Groenewegen

Fox-IT ontdekt wereldwijde Chinese cyberspionage

Ook in Nederland aanvallen maar waarschijnlijk geen gedupeerden.

Frank Groenewegen © Fox-IT
19 december 2019

Ook in Nederland aanvallen maar waarschijnlijk geen gedupeerden.

Chinese staatshackers zijn de afgelopen jaren binnengedrongen in de computersystemen van tientallen bedrijven en overheidsinstellingen over de hele wereld. Ook in Nederland zijn ze gesignaleerd, bij Nederlandse vestigingen van buitenlandse ondernemingen.

Dat zegt beveiliger Fox-IT, dat de aanvallen ontdekte en zijn onderzoek ernaar donderdag naar buiten bracht. Nederlandse bedrijven zelf zijn voor zover nu bekend buiten schot gebleven.

Volgens Fox-IT is de aanval mogelijk uitgevoerd door een schimmige hackersgroep die APT20 wordt genoemd. De aanvallers waren al jaren actief. Hoeveel data ze precies hebben buitgemaakt, is niet na te gaan.

Namen van gedupeerde instanties noemt Fox-IT niet, wel de sectoren waarin ze actief zijn. Het gaat onder meer om luchtvaartondernemingen, bouwbedrijven, de energiesector, financiële instellingen, vervoerders en softwaremakers. De hoofdkantoren van de bedrijven staan onder meer in Duitsland, Frankrijk, de Verenigde Staten, Groot-Brittannië, Brazilië en Spanje. De hackers waren niet uit op geld maar op kennis waarvan waarschijnlijk de Chinese staat kan profiteren.

Tweefactorauthenticatie misbruikt

De hackers gebruikten verschillende technieken om binnen te komen en binnen te blijven. Eén daarvan was nieuw: ze misbruikten een vorm van tweefactorauthenticatie. Sommige bedrijven hadden keurig ingesteld dat medewerkers bij het inloggen nog een toegestuurde code moesten invoeren, om misbruik te voorkomen. Juist dat systeem kon worden misbruikt. De hackers konden zelf de code aanmaken. Feitelijk konden ze zichzelf toestemming geven om in te loggen bij de slachtoffers.

Tijdens hun spionagewerk maakten de hackers een paar fouten, waardoor ze ‘vingerafdrukken’ achterlieten. Zo had een van de aanvallers de eigen instellingen niet goed afgeschermd. De browser die de hacker gebruikte, stond ingesteld op de Chinese taal. Bij de registratie van een gehuurde server gaven ze een verzonnen Amerikaans adres op, maar daarbij schreven ze per ongeluk de naam van de staat Louisiana in Chinese karakters. Bovendien gebruikten de hackers een code die alleen op een Chinees forum te vinden was.

Chinese kantoortijden vielen op

Het begon Fox-IT na een tijdje ook op te vallen dat de hackers zich heel stipt aan Chinese kantoortijden hielden. "Wij wisten op een gegeven moment dat we om 3.00 uur ‘s nachts aan het werk moesten, omdat ze toen daar begonnen", zegt directeur Frank Groenewegen van Fox-IT.

De kers op de taart was de reactie van een van de cyberspionnen, die na een tijdje terugkwam bij een gedupeerde organisatie. Alle achterdeurtjes waren inmiddels gevonden en verwijderd, Fox-IT had de digitale inbraak ongedaan gemaakt. De hacker probeerde op de gebruikelijke manier binnen te komen, maar ontdekte dat hij voor een dichte deur stond. Geen enkele poging om in te loggen lukte. Gefrustreerd tikte hij vijf tekens in: wocao, Chinese straattaal voor 'shit'.

Lees meer over
Lees meer over Beheer OP AG Intelligence
1
Reacties
Robert van der Hall 19 december 2019 12:42

Natuurlijk spioneert China, maar ik lees nooit iets over de Amerikaanse spionage, of zijn dat nu plots nette lieden geworden die cowboys :-(

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.