Industriële spionage door hackers in dienst van de Chinese veiligheidsdiensten

Gepubliceerd op 31 december 2019 om 14:33
Industriële spionage door hackers in dienst van de Chinese veiligheidsdiensten

De hackers leken overal te zijn

De cyberaanvallers beweerde te werken voor de Chinese inlichtingendienste, ze hebben tal van blauwdrukken en bedrijfsinformatie gestolen in de afgelopen jaren. Zo stelden ze gevoelige informatie van de bedrijven Rio Tinto  en Philips .

Ze kwamen binnen via service providers cloud diensten, waar bedrijven dachten dat hun gegevens veilig werden opgeslagen. Toen ze eenmaal de cloud gehackt hadden konden ze vrij en anoniem de bedrijfsinformatie van klanten van de cloud provider dienst bekijken. Zo konden ze jaren hun gang gaan.

Cybersecurity onderzoekers ontdekten voor het eerst een mogelijke hack in 2016, genaamd 'Cloud Hopper'

Amerikaanse officieren van justitie hebben twee Chinese onderdanen aangeklaagd voor de wereldwijde operatie afgelopen december. De twee verdachten zijn nog niet aangehouden.

APT 10
PDF – 150,4 KB 501 downloads

Het Wall Street Journal onderzoek heeft uitgewezen dat de aanval veel  groter is dan afhankelijk eerst gedacht werd. Het gaat veel verder dan de 14 in de tenlastelegging beursgenoteerde bedrijven, waarbij hun bedrijfsinformatie verspreid was over tenminste twaalf verschillende cloud providers diensten, waaronder CGI Group Inc., een van de grootste cloud diensten in Canada; Tieto Oyj , een belangrijke Finse IT-dienstverlener; en International Business Machines (IBM).

Het Wall Street Journal onderzoek heeft de hack en het ingrijpende tegenoffensief van beveiligingsbedrijven en westerse overheden samengevoegd via interviews met meer dan een tientalen mensen die bij het onderzoek betrokken waren en kregen honderden pagina's met interne bedrijfs- en onderzoeksdocumenten en technische gegevens met betrekking tot de inbraken in handen.

In de cloud hadden de hackers, bekend als ‘APT10’ toegang tot een enorm aantal klanten. Uit het onderzoek van de WSJ waren er honderden bedrijven aanwezig in de getroffen clouddiensten, waaronder Rio Tinto, Philips, American Airlines Group Inc., Deutsche Bank AG, Allianz SE en GlaxoSmithKline PLC.

FBI-directeur Christopher Wray beschreef de hack als het stelen van de hoofdsleutels van een heel appartementencomplex.

Philips, Allianz, GlaxoSmithKline, Deutsche Bank, Rio Tinto en Tieto

Philips zei dat het op de hoogte was van de hack die aan APT10 konden worden toegeschreven, en dat "deze pogingen tot nu toe zijn aangepakt."

Een woordvoerder van Allianz zei dat het bedrijf 'geen bewijs had gevonden' van APT10 in zijn systemen.

GlaxoSmithKline, Deutsche Bank, Rio Tinto en Tieto weigerden commentaar te geven. CGI reageerde niet op meerdere vragen.

De Chinese regering reageerde niet op verzoeken om commentaar. Het heeft in het verleden het hacken van beschuldigingen ontkend.

Ghosts

Cloud Hopper was iets nieuws voor APT10 (afkorting voor Advanced Persistent Threat), een van de meest ongrijpbaar hacking-collectieven van China, volgens onderzoekers.

"Je kent de oude grap van, waarom een ​​bank beroven?" Zei Anne Neuberger, het hoofd van het directoraat Cybersecurity van de National Security Agency. "Omdat daar het geld is."

Beveiligingsbedrijven volgen APT10 al meer dan een decennium, terwijl ze regeringen, ingenieursbureaus, ruimtevaartbedrijven en telecom plunderen. Veel over het team is een mysterie, hoewel Amerikaanse officieren van justitie beweren dat sommigen hackers werken in opdracht van  het Chinese ministerie van Staatsveiligheid.

Om de cloud te kunnen hacken, stuurden de hackers phishing-e-mails naar beheerders met toegang op hoog niveau. Andere keren kwamen ze binnen via systemen van derden, volgens de onderzoekers.

Rio Tinto was een van de eerste  doelen van de hackers en een soort testcase. Het bedrijf, die zich gespecialiseerd is op het gebied van koper, diamanten, aluminium, ijzererts en uranium, werden al in 2013 gehackt via  cloud dienst CGI.

Orin Paliwoda, een speciale FBI-agent die Cloud Hopper heeft onderzocht, zei tijdens een recente cybersecurity-conferentie in New York dat het APT10-team in wezen als spoken in de wolken opereerde. Ze "zien er eigenlijk uit als elk ander verkeer," zei hij. "Het is een groot, groot probleem."

Kris McConkey, een top cyberonderzoeker bij 'PricewaterhouseCoopers' in Londen, was een van de eersten die de omvang van de hackers van APT10 inzag. Tijdens een routinematige beveiligings audit van een internationaal adviesbureau begin 2016, begonnen zijn monitoren op te lichten met rode stippen die een massale aanval betekende. Aanvankelijk dacht zijn team dat de aanval slechts een ongewone gebeurtenis was, gezien het feit dat ze door de cloud waren gekomen en niet door de voordeur van het bedrijf. Toen zagen ze hetzelfde patroon bij andere klanten.

"Als je je realiseert dat er meerdere gevallen zijn - en de hacker begrijpt waar ze toegang toe hebben, en hoe je het kunt misbruiken - besef je de mogelijke ernst ervan," zei Mr. McConkey. Hij weigerde specifieke bedrijven of cloud diensten te noemen, onder vermelding van geheimhouding overeenkomsten.

Bron: diverse, www.wsj.com