Chinese hackers vermomden zich als Iran om Israël aan te vallen

Bewoners komen samen om de vlag te zien zakken op het Tiananmen-plein in Peking

AP Photo/Ng Han Guan





Toen hackers in 2019 en 2020 in computers van de Israëlische regering en technologiebedrijven inbraken, zochten onderzoekers naar aanwijzingen om erachter te komen wie verantwoordelijk was. Het eerste bewijs wees direct op Iran, Israëls meest controversiële geopolitieke rivaal. De hackers gebruikten tools die normaal gesproken worden geassocieerd met Iraniërs, bijvoorbeeld, en schreven in de Farsi-taal.

Maar na verder onderzoek van het bewijsmateriaal - en informatie verzameld uit andere cyberspionagezaken in het Midden-Oosten - realiseerden analisten zich dat het geen Iraanse operatie was. In plaats daarvan werd het uitgevoerd door Chinese agenten die zich voordeden als een team van hackers uit Teheran.

De hackers richtten zich met succes op de Israëlische regering, technologiebedrijven en telecommunicatiebedrijven - en door valse vlaggen te gebruiken, zo lijkt het, hoopten ze analisten te misleiden door te geloven dat de aanvallers afkomstig waren van de regionale aartsvijand van Israël.



Nieuw Onderzoek van het Amerikaanse cyberbeveiligingsbedrijf FireEye, dat samenwerkt met het Israëlische leger, legt de mislukte misleiding bloot en beschrijft de technieken die hackers gebruikten om de schuld elders te leggen.

Chinese hackers die zich voordoen als de VN-Mensenrechtenraad vallen Oeigoeren aan

Volgens een nieuw rapport richten Chineessprekende hackers zich op Oeigoerse moslims met neprapporten van de Verenigde Naties en nep-ondersteuningsorganisaties.

Veel van hun tactieken waren vrij botte pogingen om te suggereren dat ze Iraanse spionnen waren, volgens de onderzoekspaper, zoals het gebruik van bestandspaden met het woord Iran. Maar de aanvallers deden ook hun best om hun ware identiteit te beschermen door het forensische bewijs dat ze op gecompromitteerde computers achterlieten te minimaliseren en de infrastructuur te verbergen die ze gebruikten om in Israëlische machines in te breken.



Maar hun truc om met de vinger naar Iran te wijzen mislukte. De hackers, die FireEye UNC215 noemt, maakten verschillende belangrijke technische fouten die hun dekmantel verpesten en ze sterk in verband brachten met hun eerdere werk. Ze gebruikten bijvoorbeeld vergelijkbare bestanden, infrastructuur en tactieken bij meerdere operaties in het Midden-Oosten.

Er zijn stukken die de operator of hun sponsor zullen onderscheiden, zegt John Hultquist, vice-president van threat intelligence bij FireEye. Ze zullen door meerdere operaties heen bloeden, ongeacht bedrog.

Naast meerdere technische weggeefacties, is een andere belangrijke aanwijzing het soort informatie of slachtoffers waarop de hackers zich richtten. UNC215 valt herhaaldelijk dezelfde soorten doelen aan in het Midden-Oosten en Azië, die allemaal rechtstreeks verband houden met de politieke en financiële belangen van China. De doelen van de groep overlappen die van andere Chinese hackgroepen, die niet altijd overeenkomen met de belangen van bekende Iraanse hackers.



Je kunt aanzienlijke misleiding creëren, maar uiteindelijk moet je je richten op wat je interesseert, zegt Hultquist. Dat geeft informatie over wie u bent vanwege waar uw interesses liggen.

De enige voor de hand liggende tegenbeweging tegen dit probleem is om onderzoekers van het spoor te halen door achter doelen aan te gaan die niet echt van belang zijn. Maar dat veroorzaakt zijn eigen problemen: het verhogen van het activiteitenvolume vergroot de pakkans enorm.

De vingerafdrukken die door de aanvallers waren achtergelaten, waren voldoende om Israëlische en Amerikaanse onderzoekers er uiteindelijk van te overtuigen dat de Chinese groep, en niet Iran, verantwoordelijk was. Dezelfde hackgroep heeft eerder soortgelijke misleidende tactieken gebruikt. Het kan zelfs zijn dat het in 2019 de Iraanse regering zelf heeft gehackt, wat een extra laag aan het bedrog heeft toegevoegd.



Het is het eerste voorbeeld van een grootschalige Chinese hack tegen Israël, en komt in de nasleep van een reeks Chinese investeringen van miljarden dollars in de Israëlische technologie-industrie. Ze zijn gemaakt als onderdeel van het Belt and Road Initiative van Peking, een economische strategie bedoeld om: Chinese invloed snel uitbreiden en reiken duidelijk over Eurazië naar de Atlantische Oceaan. De Verenigde Staten hebben gewaarschuwd tegen de investeringen op grond van het feit dat ze een bedreiging voor de veiligheid zouden vormen.

Misleiding en verkeerde attributie

Het bedrog van UNC215 tegen Israël was niet bijzonder geavanceerd of succesvol, maar het laat zien hoe belangrijk toeschrijving - en verkeerde toeschrijving - kan zijn in cyberspionagecampagnes. Het biedt niet alleen een potentiële zondebok voor de aanval, maar biedt ook diplomatieke dekking voor de aanvallers: Chinese functionarissen beweren regelmatig dat het moeilijk of zelfs onmogelijk is om hackers op te sporen wanneer ze worden geconfronteerd met bewijs van spionage. Bij het bereiken van commentaar zei een woordvoerder van de Chinese ambassade in Washington DC dat het land 'zich krachtig verzet tegen alle vormen van cyberaanvallen en deze bestrijdt'.

En de poging om onderzoekers op het verkeerde been te zetten roept een nog grotere vraag op: hoe vaak houden valse vlagpogingen onderzoekers en slachtoffers voor de gek? Niet zo vaak, zegt Hultquist.

Het ding over deze pogingen tot misleiding is dat als je naar het incident kijkt door een nauwe opening, het zeer effectief kan zijn, zegt hij. Maar zelfs als een individuele aanval met succes verkeerd wordt toegeschreven, kan een individuele aanval met succes verkeerd worden toegeschreven, maar in de loop van vele aanvallen wordt het steeds moeilijker om de poppenkast te behouden. Dat is het geval voor de Chinese hackers die zich in 2019 en 2020 op Israël richten.

'Het is heel moeilijk om het bedrog over meerdere operaties in stand te houden.'

John Hultquist, FireEye

Zodra je het begint te koppelen aan andere incidenten, verliest het bedrog zijn effectiviteit, legt Hultquist uit. Het is erg moeilijk om het bedrog over meerdere operaties te laten doorgaan.

De bekendste poging om verkeerde attributie in cyberspace was een Russische cyberaanval tegen de openingsceremonie van de Olympische Winterspelen van 2018 in Zuid-Korea, genaamd Olympische vernietiger . De Russen probeerden aanwijzingen achter te laten die naar Noord-Koreaanse en Chinese hackers wijzen - met tegenstrijdig bewijs dat schijnbaar bedoeld was om te voorkomen dat onderzoekers ooit tot een duidelijke conclusie zouden kunnen komen.

Olympic Destroyer is een geweldig voorbeeld van valse vlaggen en attributie-nachtmerrie, Costin Raiu, directeur van het wereldwijde onderzoeks- en analyseteam van Kaspersky Lab, getweet toen.

Uiteindelijk legden onderzoekers en regeringen de schuld voor dat incident definitief bij de Russische regering, en vorig jaar de Verenigde Staten aangeklaagd zes Russische inlichtingenofficieren voor de aanval.

Die Noord-Koreaanse hackers die aanvankelijk werden verdacht van de Olympic Destroyer-hack hebben zichzelf liet vallen valse vlaggen tijdens hun eigen operaties. Maar ze werden uiteindelijk ook gepakt en geïdentificeerd door zowel onderzoekers uit de particuliere sector als de regering van de Verenigde Staten, wat: aangeklaagd drie Noord-Koreaanse hackers eerder dit jaar.

Er is altijd een misvatting geweest dat attributie onmogelijker is dan het is, zegt Hultquist. We dachten altijd dat valse vlaggen in het gesprek zouden komen en ons hele argument dat toeschrijving mogelijk is, zouden verpesten. Maar we zijn er nog niet. Dit zijn nog steeds detecteerbare pogingen om attributie te verstoren. Dit pikken we nog steeds. Ze zijn nog niet over de streep.

zich verstoppen