Exposé van Chinese datadieven onthult slordige tactieken

Een beige kantoorgebouw in de buitenwijken van Shanghai, eigendom van het Chinese leger, werd dinsdag wereldberoemd nadat Mandiant, een in Washington gevestigd computerbeveiligingsbedrijf, een 60 pagina's tellend rapport beweert dat het een groep huisvest die routinematig informatie van Amerikaanse bedrijven steelt. Hoewel er geen direct bewijs is dat het Chinese leger de campagne sponsort, maakt het rapport één ding duidelijk: de mensen die de campagne uitvoerden, waren niet de slimste operators.





Chinese mensen

Elektronische oorlog: Het Chinese Volksbevrijdingsleger wordt beschuldigd van het hebben van een eenheid die zich toelegt op het stelen van geheimen van Amerikaanse bedrijven en zelfs inbreuk te maken op een bedrijf waarvan de software de energie-infrastructuur beheert.

De groep nam vaak niet de moeite om te verbergen waar een netwerk vandaan werd geïnfiltreerd. De onderzoekers van Mandiant betrapten aanvallers die inlogden op Facebook-, Twitter- en Gmail-accounts met behulp van de computers die ze hadden aangevallen, en vervolgens de wachtwoorden van de hackers stalen.

Het rapport van Mandiant komt een week nadat president Obama een nieuwe poging aankondigde om de VS te verdedigen tegen computeraanvallen waarvan hij zei dat ze werden gebruikt om bedrijfsgeheimen te stelen en zelfs de basis te leggen voor sabotage van energie-infrastructuur (zie Obama kondigt plan aan om cyberverdediging te versterken) . Mandiant meldt dat de groep die het volgde, APT1 genaamd, sinds 2006 honderden terabytes aan gevoelige commerciële gegevens van ten minste 141 bedrijven heeft gestolen en ook Telvent heeft gehackt, een Canadees bedrijf wiens software wordt gebruikt om de energie-infrastructuur op afstand te beheren. Mandiant beweert dat APT1 deel uitmaakt van Unit 61398 van het Chinese leger en betrokken is bij een campagne om industriële spionage uit te voeren om Chinese bedrijven te helpen en informatie te verzamelen die kan worden gebruikt voor computergebaseerde aanvallen op de Amerikaanse energie-infrastructuur. De meeste slachtoffers vielen in de VS, maar ook bedrijven in Canada, het VK, Zuid-Afrika en Israël waren het doelwit.



Mandiant, dat bedrijven helpt te reageren op gerichte aanvallen op en infiltratie van hun computernetwerken, baseert haar beweringen op informatie uit veel zaken waarbij de APT1-groep de afgelopen zes jaar betrokken was. In veel gevallen keken medewerkers van Mandiant heimelijk toe hoe APT1-medewerkers aan het werk waren in de computers van slachtoffers.

Veel tactieken die op die manier zijn ontdekt, lijken slechte keuzes voor een groep wiens werk afhangt van het vermijden van detectie. Er werd gezien dat agenten routinematig inlogden op Facebook-, Twitter- en Gmail-accounts met behulp van de computers van hun slachtoffers.

Die accounts werden voornamelijk gebruikt voor het verzenden van spoof-e-mails die werden gebruikt om mensen te misleiden tot het installeren van kwaadaardige software die werd gebruikt om nieuwe systemen te doorbreken. Door dat te bekijken - en de wachtwoorden te stelen - leverde waardevol bewijs dat aanvallen op verschillende bedrijven met elkaar in verband bracht. Het stelde Mandiant zelfs in staat om het bestaan ​​van verschillende online persona's af te leiden, waarvan wordt aangenomen dat ze bepaalde leden van APT1 vertegenwoordigen.



Mandiant legt uit dat deze riskante tactiek wordt gebruikt om de beperkingen van het Chinese internetcensuursysteem te omzeilen, dat de toegang tot Facebook en vele andere westerse sites blokkeert. (Het bedrijf heeft niet uitgelegd waarom computerbeveiligingsexperts die voor geheime missies voor het leger werken, geen alternatieve manieren zouden krijgen om de geweldige firewall van China te omzeilen. Veel toeristen en zakelijke bezoekers van China gebruiken commerciële VPN-services om Chinese internetcensuur te vermijden.)

Mandiant vond ook bewijs dat een lid van het APT1-team een ​​online identiteit gebruikte - UglyGorilla - die hij of zij al jaren online had gebruikt. Google-zoekopdrachten onthulden dat het handvat in 2004 was gebruikt tijdens een online Q&A-sessie van het Chinese leger, met de vraag Heeft China cybertroepen?

Dat de APT1-groep vaak weinig moeite deed om zijn fysieke locatie te verbergen, vormt de belangrijkste onderbouwing van de bewering van Mandiant dat de groep in feite deel uitmaakte van Unit 61398 en zich in dat nieuwe beroemde kantoorgebouw bevond. Het bedrijf zegt dat veel aanwijzingen wijzen in de richting van de Pudong New Area, een buitenwijk van Shanghai, waar, zegt Mandiant, het Chinese legergebouw de enige belangrijke faciliteit is met een hoogwaardige communicatie-infrastructuur.



De aanvallers namen soms niet de moeite om methoden te gebruiken die het IP-adres konden verbergen - een nummer dat uniek is voor elke met internet verbonden computer - dat wordt gebruikt om toegang te krijgen tot systemen die door de groep zijn gecompromitteerd, beweert Mandiant. IP-adressen die als resultaat werden verzameld en door reverse-engineering van de IP-hiding-tools toen ze werden gebruikt, werden geassocieerd met Shanghai en de Pudong New Area. Webdomeinnamen die door de groep werden gebruikt, bleken ook te zijn geregistreerd op adressen en telefoonnummers in die gebieden.

Beide soorten aanwijzingen hadden relatief gemakkelijk beter verborgen of versluierd kunnen worden. Domeinregistratiegegevens worden niet gecontroleerd op juistheid bij het registreren van een domein. De APT1-groep gebruikte wel tools die het echte oorspronkelijke IP-adres van internetgegevens vertroebelen, maar ze werden niet altijd gebruikt.

Veel technieken hadden de operaties van de groep geheimer kunnen maken, zegt Dmitri Alperovitch, medeoprichter en chief technology officer van het startup-beveiligingsbedrijf Crowdstrike, dat werkt aan nieuwe manieren om aanvallers te detecteren en te misleiden, zoals die worden gebruikt door de APT1-groep. Alperovitch hielp bij het leiden van het onderzoek naar de Aurora-aanvallen die hun oorsprong vonden in China en die inbreuk maakten op Amerikaanse bedrijven, waaronder Google (zie Google onthult Chinese spionage-inspanningen). Slordige operationele beveiliging sluit Unit 61398 echter niet uit, zegt hij. Dat is heel gebruikelijk bij Chinese acteurs, inclusief degenen die verbonden zijn aan het PLA [People's Liberation Army], zegt hij, waarschijnlijk omdat het ze niet veel kan schelen als ze gepakt worden. Alperovitch zegt dat zijn bedrijf andere eenheden in het Chinese leger heeft geïdentificeerd die aanvallen uitvoeren die vergelijkbaar zijn met die van APT1.



Chinese functionarissen hebben ontkend dat hun land enige link heeft met de door Mandiant beschreven operaties, zonder specifieke tegenmaatregelen te bieden tegen de punten die door het bedrijf naar voren zijn gebracht. Jeffrey Carr, oprichter van computerbeveiligingsanalisten Taia Global en auteur van het boek Binnen Cyber ​​Warfare , gelooft dat die protesten waar kunnen zijn. Hij twijfelt er niet aan dat het Chinese leger computergebaseerde aanvallen en surveillance uitvoert, maar gelooft dat het professioneler zou opereren dan APT1.

Verfijnd is een heel losjes gebruikte term, zegt hij over Mandiants etikettering van de aanvallen. Ik geloof niet dat het Chinese leger of hun inlichtingendiensten zulke voor de hand liggende methoden zouden gebruiken en zo vaak ontdekt zouden worden, zegt hij. Als de Chinese regering echt achter alle aanvallen zat die Mandiant beweert, zijn ze er verschrikkelijk in.

zich verstoppen