211service.com
De afname van Chinese cyberaanvallen: het verhaal achter de cijfers
Afgelopen zomer verzamelde een publiek van regeringsfunctionarissen, militairen en buitenlandse ambassadeurs zich in Aspen, Colorado, om John Carlin, toen een assistent-procureur-generaal, te horen spreken over cyberaanvallen. Het Aspen Security Forum, dat elk jaar wordt gehouden in een adembenemend resort in de Rocky Mountains, is het soort evenement waar nationale veiligheidsmannen wandelen in T-shirts en korte broeken, en vervolgens oorlogsverhalen uitwisselen met citroen-frambozenwater en superfoodballen . Het nieuws over de hack van het Democratisch Nationaal Comité was de dag ervoor uitgebroken en velen hoopten dat Carlin, die het onderzoek naar het incident leidde, er openhartig over zou spreken. In plaats daarvan vertelde hij over de aanklacht door het ministerie van Justitie van vijf hackers in China's People's Liberation Army Unit 61398 wegens commerciële spionage - in 2014 (zie ' Cyber-spionage Nightmare ').
Carlin, een jongensachtige, door Harvard opgeleide voormalige aanklager, hield toezicht op de inspanningen van de afdeling om economische spionage uit te roeien voordat hij eerder deze maand aftrad. In juni bracht het cyberbeveiligingsbedrijf FireEye een rapport uit: een significante afname beschrijven sinds begin 2013 in het aantal commerciële aanvallen vanuit China, de grootste bron van dergelijke aanvallen. Het bedrijf bracht aanvallen op klanten over de hele wereld in kaart door 72 groepen die ofwel in China zijn gevestigd of waarvan wordt aangenomen dat ze Chinese staatsbelangen vertegenwoordigen. Vanaf medio 2014 stelden de analisten een merkbare daling van de activiteit vast. Inlichtingenfunctionarissen hebben die bewering stilletjes herhaald.
Voor sommigen in de regering-Obama is dit het bewijs dat het gebruik van zowel wortels als stokken om Chinese diefstal van intellectueel eigendom te bestrijden - wat Carlin een aanpak met alle tools noemde - werkt. Aanklachten en zogenaamde naming and shaming gingen gepaard met economische sancties en diplomatieke inspanningen, waaronder een overeenkomst in september 2015 tussen president Obama en Xi Jinping om af te zien van het plegen of ondersteunen van cyberdiefstal van intellectueel eigendom. Deze benadering is een gigantisch bord met 'verboden toegang', zei Carlin. Het is 'Ga van ons gazon af.'
Maar anderen zijn er niet zeker van of de Amerikaanse regering zoveel krediet zou moeten krijgen. De waargenomen afname van aanvallen vanuit China roept een vraag op: waarom? Voormalige regeringsfunctionarissen en cyberbeveiligingsexperts bieden nu een reeks theorieën aan, waaronder een provocerende theorie die de vraag stelt in hoeverre rechtstreekse commerciële cyberspionage, in tegenstelling tot de meer gerichte spionage van militaire technologieën en capaciteiten waar veel landen zich mee bezighouden, ooit een prioriteit van de Chinese centrale regering in de eerste plaats.
Het lijdt weinig twijfel dat de Chinese regering veel energie steekt in het stelen van alles, van plannen voor Amerikaanse straaljagers tot de 22 miljoen records die worden bijgehouden door het Office of Personnel Management, of dat ze weinig heeft gedaan om commerciële spionnen te achtervolgen. Maar sommige van de meer commercieel gerichte aanvallen die door Eenheid 61398 werden uitgevoerd, volgens deze theorie, waren misschien illusies, terwijl andere misschien nooit expliciete steun van Peking hadden gehad om mee te beginnen.
Sceptici in overvloed

Vijf leden van China's People's Liberation Army Unit 61398 werden in 2014 door het Amerikaanse ministerie van Justitie aangeklaagd voor commerciële spionage.
In 2013 riep voormalig FBI-directeur Robert Mueller op tot een brede inspanning om cyberdreigingen uit te roeien en het warme lichaam achter het toetsenbord te zoeken. Tijdens een toespraak in het Brookings Institution de dag nadat de aanklacht tegen Unit 61398 was onthuld, zei Carlin dat het bureau erin was geslaagd een gezicht op dat warme lichaam te krijgen - of liever, op vijf van hen. De politiefoto's van deze mannen, die bijnamen als KandyGoo en UglyGorilla hadden, werden verspreid over posters met de tekst: Gezocht door de FBI.
De aanklacht betekende een breuk met de standaard diplomatieke praktijk om actieve militaire functionarissen van andere landen niet strafrechtelijk te vervolgen, en velen in Washington begroetten deze met scepsis. Sommigen betwijfelden of de aanklachten uitvoerbaar zouden zijn, terwijl anderen erop wezen dat het standpunt van het ministerie van Justitie over commerciële spionage - dat het verzamelen van algemene economische informatie routinematig staatsmanschap is en daarom acceptabel is, terwijl spionage ten behoeve van specifieke bedrijven dat niet is - een onderscheid is dat weinig andere landen zouden erkennen. Benjamin Wittes, een senior fellow bij Brookings, vroeg zich zelfs af of de zet van het ministerie van Justitie misschien gewoon een zeer geavanceerde vorm van juridische PR was.
De twijfel duurde voort in september 2015, na de aankondiging van de China-V.S. overeenkomst. Sommigen waren van mening dat Xi's toezegging om geen commerciële hacking te ondersteunen, weinig meer was dan lippendienst. Directeur van de nationale inlichtingendienst James Clapper vertelde: Defensie Nieuws op dat moment ben ik persoonlijk een beetje een scepticus.
Maar naarmate de tijd verstreek, merkten cybersecurity-analisten een merkwaardige verandering op. Voor zijn recente rapport begon FireEye in februari 2013, de maand waarin het inlichtingenbureau Mandiant (nu eigendom van FireEye) publiekelijk Unit 61398 bond aan een zwaar bewaakt gebouw in Shanghai. In de jaren die volgden, registreerden FireEye-analisten aanvallen op klanten in de VS, Japan en Europa. Aanvallen piekten in september 2013 met iets meer dan 70 per maand. Begin september 2015, voordat Obama en Xi de overeenkomst ondertekenden, waren ze vertraagd tot 10 per maand, waardoor het akkoord eruitzag als slechts een voetnoot in de ommekeer van China.
Alle aanwijzingen zijn dat China hun beleid en aanpak al had aangepast en dat de overeenkomst voor hen haalbaar was omdat ze al van richting waren veranderd, zegt Daniel McWhorter, chief intelligence strategist en vice-president bij FireEye. Het rapport beperkt zich tot de zichtbaarheid van het bedrijf en vaag over details zoals welke bestanden de aanvallers hebben genomen, maar in april getuigde NSA-directeur Michael Rogers dat hacking vanuit China was afgenomen. In een gesprek op het Aspen-forum herhaalde CIA-hoofd John Brennan ondertussen dat de inlichtingengemeenschap minder aanvallen uit China ontdekte. In augustus, toen FireEye aankondigde dat het ongeveer 10 procent van zijn personeel zou ontslaan, gaven leidinggevenden de schuld aan de terugval in de Chinese activiteit.
'Stofzuiger' spionage
De Wanted-posters en de fanfare achter de aanklacht tegen Unit 61398 versterkten de populaire misvatting, in stand gehouden door shows als Mr. Robot , dat Chinese hackers zeer georganiseerd zijn in hun methoden en tools. In feite stonden ze al lang bekend als gedecentraliseerd en slordig. Cybersecurity-experts waren ooit verbaasd over het vinden van meerdere Chinese hackergroepen die hetzelfde doelwit binnendrongen, met schijnbaar weinig of geen coördinatie. Soms maakten zulke groepen elementaire fouten. In het rapport van 2013 over Unit 61398, of APT1, dat voorafging aan de aanklacht van het ministerie van Justitie, kon Mandiant aanvallen toeschrijven aan het Chinese Volksbevrijdingsleger (PLA), deels omdat de hackers de hackinfrastructuur van het leger gebruikten, die zich buiten China's Great Firewall bevindt, om toegang krijgen tot hun persoonlijke Facebook- en Twitter-accounts.
Velen geloven nu dat dergelijke groepen eenvoudig een deel van de ruis hebben verminderd waardoor ze gemakkelijk te detecteren waren. Tegelijkertijd heeft China zijn focus waarschijnlijk verfijnd van spionage met 'stofzuigers' naar meer precies gerichte inbraak en diefstal, zegt Greg Austin, een professorial fellow bij het EastWest Institute en de auteur van Cyberbeleid in China. Door de staat gesponsorde hackers slurpen vroeger grote hoeveelheden gegevens op en doorzochten die later, zegt hij. Dat kan het aantal commerciële aanvallen kunstmatig hebben opgedreven, aangezien hackers die zich richten op technologieën voor tweeërlei gebruik, zoals zonnepanelen, prijsinformatie samen met ontwerpspecificaties ophaalden. Een overstap naar meer gerichte spionage op het gebied van de nationale veiligheid zou een vermindering van de waargenomen commerciële cyberaanvallen betekenen.
In sommige gevallen werkten ondertussen mensen als UglyGorilla onder de tafel, zonder de uitdrukkelijke toestemming van de centrale overheid. De aanklacht tegen Unit 61398, bijvoorbeeld, beweert dat een staatsbedrijf de eenheid heeft ingehuurd om een 'geheime' database op te bouwen waarin de 'intelligentie' van het bedrijf wordt bewaard.

Voormalig assistent-procureur-generaal John Carlin.
Die verklaringen zouden helpen bij het oplossen van een aantal al lang bestaande mysteries. Terwijl Peking de aankoop van buitenlandse technologieën al lang aanmoedigt, en diefstal van IP onder Chinese bedrijven hoogtij viert, is het onduidelijk hoe de staat diefstal door bedrijven precies zou kunnen faciliteren. De Chinese regering heeft geen grote bondgenoten van de inlichtingendiensten en een reeks prioriteiten bij het verzamelen van inlichtingen, waaronder het volgen van dissidenten, op de hoogte blijven van de controverse over de Zuid-Chinese Zee en het volgen van activisten in Tibet en Xinjiang. Het is niet bekend waar commerciële spionage tot deze prioriteiten behoort - en hoe de informatie die bij door de staat gesponsorde aanvallen is gestolen, systematisch kan worden verspreid.
Ondanks nauwe banden tussen de Chinese overheid en de particuliere sector, is er in veel gebieden geen voor de hand liggende firma om handelsgeheimen te ontvangen. De aanklacht tegen Unit 61398, bijvoorbeeld, beschuldigt de verdachten van het stelen van duizenden gevoelige bestanden van een Amerikaanse dochteronderneming van het Duitse bedrijf SolarWorld AV. Het document houdt in dat de hackers de documenten vervolgens hebben doorgegeven aan een Chinees bedrijf of bedrijven die zonneproducten naar de Verenigde Staten exporteren. Maar zo'n 400 bedrijven voldoen aan die beschrijving, merkt Austin op.
Het idee dat de PLA, in tegenstelling tot een andere Chinese overheidsinstantie, de aangewezen arbiter zou zijn geweest voor industriële spionage in de civiele sector, is op een ander niveau raadselachtig. De PLA had ooit zijn handen in naar schatting 20.000 bedrijven, waaronder alles van farmaceutische bedrijven tot bordelen. Maar sinds het einde van de jaren negentig heeft de Chinese regering veel energie gestoken in het verminderen van de nevenprojecten van het leger, met als doel het militair personeel aan het denken te zetten over operaties in plaats van over onroerendgoeddeals. Sinds hij in 2012 aan de macht kwam, is Xi Jinping bijzonder vastberaden geweest over militair maanlicht.
Xi heeft ook een anticorruptiecampagne gelanceerd die, hoewel politiek gemotiveerd, de omvang van de militaire corruptie aan het licht heeft gebracht. In januari 2015 werden 16 hoge militaire officieren onderzocht voor strafbare feiten, waaronder het verkopen van hoge posities en rangen aan de hoogste bieder. Onder degenen die werden gezuiverd was Guo Boxiong, voormalig vice-voorzitter van de uiterst belangrijke Centrale Militaire Commissie. Zo extreem is de anticorruptie-inspanning binnen de PLA dat alcohol, een steunpilaar van officiële banketten, is verbannen uit militaire recepties in de hoop onsmakelijke deals af te weren, zoals, laten we zeggen, de verkoop van gehackte handelsgeheimen.
Een omslagpunt
Tegen die achtergrond lijkt de Chinese toezegging van afgelopen september om af te zien van commerciële aanvallen minder belangrijk. Het is niet zo dat China de overeenkomst nakomt omdat ze de overeenkomst nakomen, zegt James A. Lewis van het Centrum voor Strategische en Internationale Studies in Washington, DC. Ze komen de overeenkomst na omdat ze proberen de PLA moderniseren en corruptie verminderen. Hoewel een afname van commercieel hacken geen groot verlies is voor China als geheel, voegt hij eraan toe, is het een enorm verlies voor individuele bedrijven en PLA-eenheden.
Toch kunnen Amerikaanse acties ertoe hebben bijgedragen dat de zaken een kantelpunt hebben bereikt voor Chinese leiders, die misschien wel op de hoogte waren van de aanvallen onder de tafel en ervoor kozen de andere kant op te kijken. Voormalig minister van Binnenlandse Veiligheid Michael Chertoff, nu voorzitter van het veiligheidsadviesbureau Chertoff Group, vertelde me op het Aspen-forum: het lijkt me niet onwaarschijnlijk dat het woord terugging: 'Jongens, cool the hot-rodding. Als er iets is dat het waard is om te stelen, doe het dan, maar doe het op een manier die niet zo voor de hand ligt.'
Wat de reden ook is, de daling van het aantal schijnbare aanvallen moet worden gevierd, zegt Jason Healey, een wetenschapper aan de School for International and Public Affairs van Columbia University die cyberconflicten bestudeert. Zelfs als China simpelweg heeft bezuinigd op PLA-moeheid en zijn aanpak van cyberspionage heeft verfijnd, is zijn huidige aanpak veel minder escalerend dan het was, zegt hij. Het lijkt meer op het Amerikaanse systeem: je coördineert, je zoekt uit wie er naar binnen gaat. Iemand gaat naar binnen en jij deelt de take. Het is meer de manier waarop een professionele inlichtingenorganisatie werkt.
Lopende gesprekken bieden nu een kans om de druk erop te houden. Een bilaterale werkgroep die naar aanleiding van het akkoord van 2015 is gevormd, komt meerdere keren per jaar bijeen. Elke keer dat we praten, herhalen we hoe belangrijk het is om ons aan de cyberbeveiligingsverplichting te houden, zegt Suzanne Spaulding, de ondersecretaris van het ministerie van Binnenlandse Veiligheid die afgelopen juni een Amerikaanse delegatie naar Peking leidde. We maken in elk gesprek aan onze collega's duidelijk dat we dit nauwlettend in de gaten houden en dat er eerlijk gezegd niet veel vertrouwen van het publiek is. Ze zijn zich ervan bewust dat de jury er nog niet is.
Mara Hvistendahl is een Eric & Wendy Schmidt Fellow bij New America en de auteur van: Onnatuurlijke selectie: jongens kiezen boven meisjes, en de gevolgen van een wereld vol mannen . Acht jaar lang dekte ze China voor Wetenschap tijdschrift en andere publicaties.