Nederlands securitybedrijf ontdekt wereldwijde Chinese cyberspionage

Chinese hackers zijn de afgelopen jaren binnengedrongen in de computersystemen van tientallen bedrijven en overheidsinstellingen over de hele wereld. Dat zegt beveiliger Fox-IT, dat de aanvallen ontdekte en zijn onderzoek daarover vandaag naar buiten bracht. Belgische bedrijven zijn voor zover bekend buiten schot gebleven.

Fox-IT is in ons land vooral bekend als het bedrijf dat in 2013 de Belgacom-hack ontdekte, een spionagepoging die later het werk bleek van GCHQ, de Britse geheime dienst. Vandaag kondigt de cyberbeveiliger aan dat hackers de afgelopen jaren binnengedrongen zijn in computersystemen van tientallen bedrijven en overheidsinstellingen over de hele wereld. In een lijvig rapport concluderen de Nederlanders “met hoge zekerheid” dat het om een Chinese groep gaat, die “waarschijnlijk op zoek ging naar informatie voor spionagedoeleinden in het belang van de Chinese overheid.” Mogelijk zijn de aanvallen uitgevoerd door een schimmige hackersgroep die ‘APT20’ wordt genoemd.

De aanvallers omschrijven als ‘Chinese staatshackers’ is te kort door de bocht, zegt directeur Frank Groenewegen van Fox-IT aan Data News. “Maar als je kijkt naar de slachtoffers en de sectoren waarin ze actief zijn, dan wijst het al snel die richting uit. De hackers stelen bijvoorbeeld geen geld, maar waren op zoek naar bedrijfsgevoelige informatie en kennis – iets waar vooral de Chinese overheid van kan profiteren.” Hoeveel data de aanvallers de voorbije jaren precies hebben buitgemaakt, is niet na te gaan.

Namen van gedupeerde instanties wil Fox-IT niet noemen, wel de sectoren waarin ze actief zijn. Het gaat onder meer om luchtvaartondernemingen, bouwbedrijven, de energiesector, financiële instellingen, vervoerders en softwaremakers. De hoofdkantoren van de bedrijven staan onder meer in Duitsland, Frankrijk, de Verenigde Staten, Groot-Brittannië, Brazilië en Spanje. “Het gaat om grote spelers die overal ter wereld actief zijn en dus onvermijdelijk ook in België, maar we hebben de hackers niet actief gezien in een Belgisch netwerk van een van die bedrijven”, zegt Groenewegen.

2FA omzeild

De hackers gebruikten verschillende technieken om binnen te komen en binnen te blijven. Eén daarvan was nieuw: ze misbruikten een vorm van tweefactorauthenticatie. Sommige bedrijven hadden keurig ingesteld dat medewerkers bij het inloggen nog een toegestuurde code moesten invoeren, om misbruik te voorkomen. Juist dat systeem kon worden misbruikt. De hackers konden zelf de code aanmaken. Feitelijk konden ze zichzelf toestemming geven om in te loggen bij de slachtoffers.

Tijdens hun spionagewerk maakten de hackers een paar fouten, waardoor ze ‘vingerafdrukken’ achterlieten. Zo had een van de aanvallers de eigen instellingen niet goed afgeschermd. De browser die de hacker gebruikte, stond ingesteld op de Chinese taal. Bij de registratie van een gehuurde server gaven ze een verzonnen Amerikaans adres op, maar daarbij schreven ze per ongeluk de naam van de staat Louisiana in Chinese karakters. Bovendien gebruikten de hackers een code die alleen op een Chinees forum te vinden was.

Chinese kantoortijden

Het begon Fox-IT na een tijdje ook op te vallen dat de hackers zich heel stipt aan Chinese kantoortijden hielden. “Wij wisten op een gegeven moment dat we om 3.00 uur ‘s nachts aan het werk moesten, omdat ze toen daar begonnen”, zegt Groenewegen.

De kers op de taart was de reactie van een van de cyberspionnen, die na een tijdje terugkwam bij een gedupeerde organisatie. Alle achterdeurtjes waren inmiddels gevonden en verwijderd, Fox-IT had de digitale inbraak ongedaan gemaakt. De hacker probeerde op de gebruikelijke manier binnen te komen, maar ontdekte dat hij voor een dichte deur stond. Geen enkele poging om in te loggen lukte. Gefrustreerd tikte hij vijf tekens in: ‘wocao’, Chinese straattaal voor ‘shit’.