211service.com
Nachtmerrie over cyberspionage
Op een muur tegenover tientallen hokjes in het FBI-kantoor in Pittsburgh staren vijf jongens uit Shanghai van Wanted-posters. Wang Dong, Sun Kailiang, Wen Xinyu, Huang Zhenyu en Gu Chunhui zijn volgens een federale aanklacht vorig jaar ontzegeld, agenten van China's People's Liberation Army Unit 61398, die inbraken in netwerken van Amerikaanse bedrijven - V.S. Steel, Alcoa, Allegheny Technologies (ATI), Westinghouse, plus de grootste industriële vakbond in Noord-Amerika, United Steelworkers en de Amerikaanse dochteronderneming van SolarWorld, een Duitse fabrikant van zonnepanelen. Volgens de aanklagers hebben de agenten gedurende meerdere jaren duizenden e-mails gestolen over bedrijfsstrategie, documenten over oneerlijke handelszaken die sommige Amerikaanse bedrijven tegen China hadden ingediend, en zelfs leidingontwerpen voor kerncentrales - allemaal naar verluidt ten voordele van Chinese bedrijven .
Het is de eerste zaak die de Verenigde Staten hebben aangespannen tegen de daders van vermeende door de staat gesponsorde cyberspionage, en het heeft gaten in de computerbeveiliging aan het licht gebracht die bedrijven zelden in het openbaar erkennen. Hoewel de aanvallers blijkbaar hun activiteiten via de computers van onschuldige mensen leidden en andere pogingen deden om zichzelf te maskeren, traceerden officieren van justitie de inbraken naar een 12-verdiepingen tellend gebouw in Shanghai en lieten individuele inlichtingenagenten los. Er is weinig kans dat er arrestaties zullen worden verricht, aangezien de Verenigde Staten geen uitleveringsovereenkomsten hebben met China, maar de Amerikaanse regering hoopt blijkbaar dat het noemen van echte agenten - en aantonen dat het traceren van aanvallen mogelijk is - China in verlegenheid zal brengen en andere naties zal waarschuwen, toekomstige economische spionage te voorkomen.
Dit verhaal maakte deel uit van ons nummer van juli 2015
- Zie de rest van het nummer
- Abonneren
Dat is misschien onrealistisch. Beveiligingsbedrijven zeggen dat dergelijke activiteiten doorgaan, en China noemt de beschuldigingen puur ongegrond en absurd. Maar er is nog een les uit de aanklacht: het is onwaarschijnlijk dat bedrijven waardevolle informatie online veilig bewaren. Welke stappen ze ook nemen, ze houden geen gelijke tred met de dreigingen. Het is duidelijk dat de situatie erger is geworden, niet beter, zegt Virgil Gligor, die mede-directeur is van het onderzoekscentrum voor computerbeveiliging van Carnegie Mellon University, bekend als CyLab. We hebben toegang tot services en databases en connectiviteit zo handig gemaakt dat het ook handig is voor onze tegenstanders. Zodra bedrijven dat accepteren, zegt Gligor, is de meest voor de hand liggende reactie een drastische: ontkoppel.
Fracking en hacken
Zittend aan een kleine vergadertafel in zijn kantoor in het federale gerechtsgebouw in Pittsburgh, opende David Hickton, de advocaat van de Verenigde Staten voor het westen van Pennsylvania, een plastic container die hij van huis had meegenomen en verwijderde en pelde een hardgekookt ei voor de lunch. Hoewel we het hadden over een onderzoek waarbij wereldspelers en ondoorzichtige technologieën betrokken waren, was de huiselijke sfeer van onze ontmoeting passend: de zaak had veel wortels in hechte zakelijke en politieke kringen in Pittsburgh. Hickton liet me een ingelijste foto op een plank zien. Op de foto staan hij en een vriend genaamd John Surma naast hun zonen, de jongens in hockeyuniformen, vers van het ijs. Beide vaders hadden Penn State bezocht. Terwijl Hickton opklom in de rangen van de aanklagers, steeg Surma op in de bedrijfswereld en werd hij CEO van U.S. Steel. Toen Hickton in 2010 de hoogste federale aanklager in het gebied werd, was een van zijn meet-and-greet-ontbijten met Surma en Leo Girard, de baas van United Steelworkers, dat 1,2 miljoen huidige of gepensioneerde werknemers in verschillende industrieën vertegenwoordigt. Ik vroeg hen in een geheel losstaande zaak om zitting te nemen in een raad voor de preventie van jeugdcriminaliteit, herinnert Hickton zich. Ze zeiden: 'Kunnen we met u over iets anders praten?'
Destijds was de Amerikaanse fracking-boom in volle gang, met ultralage rentetarieven die waren ingesteld om de economie te stimuleren en ook de winning van voorheen moeilijk bereikbare aardgas en olie smeren. U.S. Steel had een bloeiend bedrijf dat buizen verkocht die speciaal waren ontworpen voor het extractieproces. De pijpen hebben onder andere geen verticale naden, dus ze zullen standhouden als ze duizenden meters de aarde in worden geramd en toch buigen om olie en gas te transporteren zonder te breken.
We moeten de beveiligingskosten betalen, wat een ongemak is.
Maar U.S. Steel merkte ook twee verontrustende ontwikkelingen op. Ten eerste exporteerden Chinese staatsbedrijven veel soortgelijke pijp naar de Verenigde Staten tegen lage prijzen. Dus diende U.S. Steel klachten in bij het Amerikaanse ministerie van Handel en de U.S. International Trade Commission en beschuldigde China ervan zijn industrieën te subsidiëren; de resulterende gevallen leidden uiteindelijk tot sancties tegen China. Ten tweede wisten zowel het bedrijf als de vakbond dat er verdachte e-mails waren binnengekomen. Maar het was niet duidelijk wie erachter zat en of er schade was. Er was een algemeen bewustzijn van inbreuken, maar niet 'wanneer, waar, hoe' en de reikwijdte, zegt Hickton.
De e-mails zijn slim ontworpen. Ze beweerden van collega's of bestuursleden te zijn, met onderwerpregels over vergaderagenda's of marktonderzoek, maar ze leverden malware door middel van bijlagen of links. De aanklacht zegt bijvoorbeeld dat de hackers op 8 februari 2010 - twee weken voor een prejudiciële beslissing van het ministerie van Handel - een e-mail hebben gestuurd naar verschillende medewerkers van U.S. Steel. Het leek van de CEO te zijn, maar bevatte een link naar een website die malware bevatte. Een paar medewerkers klikten erop en al snel waren hun computers geïnfecteerd. Het resultaat: de hackers stalen hostnamen voor 1.700 servers die de toegang tot de faciliteiten en netwerken van het bedrijf controleerden. De aanklacht zegt dat Wang vervolgens probeerde die toegang te misbruiken, maar het specificeert niet welke informatie werd blootgesteld.
Debbie Shon, vice-president voor handel van U.S. Steel, vertelde me dat de informatie waardevolle bedrijfsinformatie bevatte. Het waren geen hightech ontwerpen, zegt ze. Het waren de even belangrijke zaken: de bedrijfsstrategieën, de prijsstelling, de productiebedragen en de timing en inhoud van eventuele handelsklachten die U.S. Steel, als een van de grootste bedrijven op dit gebied, zou kunnen onderzoeken.
De aanklacht beschrijft verschillende soortgelijke aanvallen. Tussen 2007 en 2013 onderhandelde Westinghouse over de details van een contract met een Chinees bedrijf om vier kernreactoren te bouwen. Van 2010 tot 2012 zou een van de beklaagden minstens 1,4 gigabyte aan gegevens hebben gestolen - ongeveer 700.000 pagina's met e-mail en bijlagen - van de computers van Westinghouse. De bestanden bevatten onder meer leidingontwerpen en communicatie waarin Westinghouse zijn zorgen over de Chinese concurrentie openbaarde. Bij ATI zouden de hackers de wachtwoorden van 7.000 werknemers hebben gestolen terwijl het bedrijf verwikkeld was in een handelsgeschil dat gericht was op de verkoop aan China. Bij Alcoa hebben de aanklagers beweerd dat de hackers 2.900 e-mails met meer dan 860 bijlagen hebben gestolen rond de tijd dat het bedrijf onderhandelde over deals met Chinese bedrijven. (Alcoa, Westinghouse en ATI weigerden allemaal commentaar te geven op dit verhaal.) En in 2012, nadat de staalarbeidersvakbond zich begon uit te spreken tegen het Chinese industriële beleid, stal Wen e-mails met discussies tussen vakbondsleiders, aldus de aanklacht.
Ondertussen had SolarWorld handelszaken aangespannen waarin Chinese bedrijven werden beschuldigd van het verkopen van zonnepanelen onder de kostprijs, waardoor hun rivalen werden gedecimeerd. Op een dag in 2012 ging er een telefoon op haar kantoor in Camarillo, Californië. Het was de FBI die belde en zei dat agenten e-mails hadden ontdekt die waren gestolen van het bedrijf, zegt Ben Santarris, de Amerikaanse woordvoerder. Als teken van hoe slecht cyberbeveiliging is, had ik geen idee dat dit aan de hand was totdat we het telefoontje kregen, zegt hij. Pas toen de aanklacht in mei 2014 werd ontsloten, hoorde het bedrijf de volledige omvang van de vermeende diefstal. Er was toegang tot handelsstrategie, bedrijfsfinanciën, kosten, winst-en-verliesrekeningen, technologische roadmaps, R&D, enzovoort, zegt Santarris. Uiteindelijk won het bedrijf zijn rechtszaken en kreeg het rechten op de invoer van zonne-energieapparatuur uit China. Tijdens het handelsgeschil hebben we heel strikte controles gehouden over wie welke informatie te zien krijgt, zegt hij. Op het moment dat we dat deden, kwam volgens de FBI het Chinese leger door de achterdeur.
Haal het neer
Het falen van de vermeende beveiligingstechnologieën van de bedrijven was verbijsterend. Lance Wyatt, de IT-directeur van de staalarbeidersvakbond, dacht dat hij een strak schip had. Een IT-audit in 2010 had geen grote tekortkomingen gevonden. Zijn e-mailserver screende alle inkomende berichten op bijlagen die uitvoerbare code bevatten. Hij had de nieuwste antivirussoftware. Zijn netwerk controleerde IP-adressen om sites die malware bevatten te vermijden. Toch vonden Wyatt en de FBI uiteindelijk geïnfecteerde computers, waarvan er één werd gebruikt door de reismanager van de vakbond. Geen van die machines stond op onze radar als besmet of verdacht, zegt hij.
Volgens de aanklacht hadden de hackers verschillende vermommingen. Om te beginnen zouden ze kwaadaardige e-mail naar bedrijven en de vakbond hebben gestuurd vanaf hoppoints - tussenliggende computers, waaronder een in Kansas, die onder hun controle stonden. Ten tweede manipuleerden ze vakkundig het internetsysteem voor het benoemen van computeradressen. De hackers hebben domeinnamen opgezet zoals arrowservice.net en purpledaily.com en programmeerden malware op de zakelijke slachtoffercomputers om contact met hen op te nemen. Dan konden de spionnen voortdurend de computeradressen wijzigen waarmee de domeinnamen verbonden waren. Toen het dag was in Shanghai en nacht in Pittsburgh, zegt de aanklacht, hadden ze een domeinnaam ingesteld om verbinding te maken met hop-point-computers en spionage uit te voeren. Toen de werkdag in Shanghai voorbij was, zouden de hackers het adres instellen om verbinding te maken met onschadelijke sites zoals Yahoo-pagina's.
Het is geen verrassing dat dergelijke systemen relatief eenvoudig te gebruiken zijn voor snode doeleinden. Ideeën om het internet veiliger te maken bestaan al tientallen jaren, en academische en overheidslaboratoria hebben interessante voorstellen gedaan. Toch zijn er maar heel weinig van deze ideeën geïmplementeerd; ze vereisen een brede acceptatie en mogelijk compromissen in netwerkprestaties. Je hoort niets meer over het opnieuw opbouwen van internet, zegt Greg Shannon, hoofdwetenschapper bij de CERT-divisie van Carnegie Mellons Software Engineering Institute.
Wat moet een bedrijf doen? Wyatt scherpte de zaken bij United Steelworkers aan; Zo geeft hij nu onder meer minder werknemers zogenaamde beheerdersrechten op hun computers en zoekt hij in het netwerk naar de veelbetekenende signalen van communicatie door malware. Maar niets van dit alles zou de inbraken hebben voorkomen. Wyatt zegt dat het hen misschien heeft afgeremd.
De beste optie zou dan kunnen zijn om gevoelige gegevens volledig van internet te halen. Daar zijn nadelen aan: als e-mail niet zo vrij wordt gebruikt, of als een database offline is, kan het bijhouden van de nieuwste versies van rapporten of andere gegevens meer tijd kosten. Maar zoals Gligor zegt: we moeten de kosten van beveiliging betalen, wat ongemak is. We moeten een beetje ongemak toevoegen om het de aanvaller op afstand veel moeilijker te maken. De manier om dat te doen is om - hoe zal ik het zeggen? - af en toe offline te gaan.
Er vinden immers nog steeds meer aanslagen plaats zoals die in Pittsburgh. Deze aanklacht, zegt Hickton, vertegenwoordigt niet het volledige aantal hackers, het volledige aantal slachtoffers of het volledige aantal beklaagden.
— David Talbot
