Toen Chinese hackers de oorlog verklaarden aan de rest van ons

Andrea Daquino





Op een late woensdag in maart 2015 ging er alarm af in de kantoren van GitHub, een softwarebedrijf in San Francisco. De kantoren van het bedrijf waren een voorbeeld van het soort Scandinavische-ontmoet-zielloosheid-stijl die zich vanuit Silicon Valley heeft verspreid om moderne werkplekken over te nemen: zichtbaar hout, open ruimtes en veel natuurlijk licht. De meeste medewerkers waren zich aan het voorbereiden om te vertrekken, als ze dat nog niet hadden gedaan. Buiten was de zon begonnen onder te gaan en was het zwoel en helder.

Alarmen waren niet ongewoon op GitHub. Het bedrijf beweert de grootste opslagplaats van computercode ter wereld te hebben. Het had op dat moment zo'n 14 miljoen gebruikers en is trots op het onderhouden van zijn service en het online blijven. Het kernproduct van GitHub is een set bewerkingstools waarmee grote aantallen programmeurs kunnen samenwerken aan software en wijzigingen kunnen bijhouden terwijl bugs worden verholpen. In oktober 2018 zou Microsoft het kopen voor $ 7,5 miljard.

In 2015 was GitHub echter nog steeds een opkomend, onafhankelijk bedrijf wiens succes voortkwam uit het aanzienlijk gemakkelijker maken voor andere mensen om computersoftware te maken. Het eerste alarm gaf aan dat er een grote hoeveelheid inkomend verkeer was naar verschillende projecten die op GitHub waren opgeslagen. Dit kan onschuldig zijn - misschien had een bedrijf net een grote nieuwe update gelanceerd - of iets sinisters. Afhankelijk van hoe het verkeer was geclusterd, zouden er meer alarmen afgaan als de plotselinge toestroom de service op de hele site zou beïnvloeden. De alarmen klonken. GitHub werd DDoS-ed.



Een van de meest voorkomende oorzaken van het uitvallen van een website is een scherpe piek in het verkeer. Servers worden overspoeld met verzoeken, waardoor ze vastlopen of langzaam tot een martelende sleur worden. Soms gebeurt dit simpelweg omdat de website ineens populair wordt. Andere keren, zoals bij een gedistribueerde denial of service (DDoS)-aanval, is de piek kwaadwillig ontworpen. In de afgelopen jaren komen dergelijke aanvallen steeds vaker voor: hackers zijn begonnen grote aantallen computers met virussen te infecteren, die ze vervolgens gebruiken om de controle over de computers over te nemen en ze in de DDoS-aanval te betrekken.

We ervaren momenteel de grootste DDoS-aanval in de geschiedenis van GitHub, schreef senior ontwikkelaar Jesse Newland in een blogpost bijna 24 uur nadat de aanval was begonnen. Gedurende de volgende vijf dagen, terwijl ingenieurs 120 uur besteedden aan het bestrijden van de aanval, ging GitHub negen keer neer. Het was als een hydra: elke keer dat het team dacht dat ze het onder controle hadden, paste de aanval zich aan en verdubbelde zijn inspanningen. GitHub wilde geen commentaar geven op de plaat, maar een teamlid dat anoniem met me sprak, zei dat het heel duidelijk was dat dit iets was dat we nog nooit eerder hadden gezien.

In de interne chatroom van het bedrijf realiseerden GitHub-ingenieurs zich dat ze de aanval enige tijd zouden aanpakken. Terwijl de uren zich uitstrekten tot dagen, werd het een soort competitie tussen de GitHub-ingenieurs en degene die aan de andere kant van de aanval zat. Het team werkte lange, hectische diensten en had niet veel tijd om te speculeren over de identiteit van de aanvallers. Omdat er online geruchten de ronde deden, zou GitHub alleen maar zeggen: We geloven dat de bedoeling van deze aanval is om ons te overtuigen om een ​​specifieke klasse van inhoud te verwijderen. Op ongeveer 20 minuten rijden, aan de overkant van de Baai van San Francisco, dacht Nicholas Weaver de boosdoener te kennen: China.



Weaver is netwerkbeveiligingsexpert bij het International Computer Science Institute, een onderzoekscentrum in Berkeley, Californië. Samen met andere onderzoekers hielp hij de doelen van de aanval op te sporen: twee door GitHub gehoste projecten die verbonden waren met GreatFire.org, een in China gevestigde anti-censuurorganisatie. Dankzij de twee projecten konden gebruikers in China zowel de website van GreatFire als de Chineestalige versie van de New York Times bezoeken, die beide normaal gesproken niet toegankelijk zijn voor gebruikers in China. GreatFire, door de Cyberspace Administration of China een buitenlandse anti-Chinese organisatie genoemd, was lange tijd het doelwit geweest van DDoS- en hackaanvallen, en daarom verplaatste het een aantal van zijn diensten naar GitHub, waar ze nominaal buiten gevaar waren.

China blokkeerde niet alleen bits en bytes aan gegevens die probeerden China binnen te komen, maar het leidde ook de gegevensstroom uit China.

Weaver vond iets nieuws en zorgwekkends toen hij de aanval onderzocht. In een papier co-auteur samen met onderzoekers van Citizen Lab, een activist en onderzoeksgroep aan de Universiteit van Toronto, beschreef Weaver een nieuw Chinees cyberwapen dat hij het Grote Kanon noemde. The Great Firewall - een uitgebreid schema van onderling gerelateerde technologieën voor het censureren van internetinhoud die van buiten China komt - was al bekend. De onderzoekers van Weaver en het Citizen Lab ontdekten dat China niet alleen bits en bytes aan gegevens blokkeerde die China probeerden binnen te komen, maar dat het ook de gegevensstroom uit China wegleidde.



Degene die het Grote Kanon bestuurde, zou het gebruiken om selectief kwaadaardige JavaScript-code in te voegen in zoekopdrachten en advertenties die worden aangeboden door Baidu, een populaire Chinese zoekmachine. Die code leidde vervolgens enorme hoeveelheden verkeer naar de doelen van het kanon. Door een aantal verzoeken te sturen naar de servers van waaruit het Great Cannon het verkeer leidde, konden de onderzoekers achterhalen hoe het zich gedroeg en inzicht krijgen in zijn innerlijke werking. Het kanon kan naast denial-of-service-aanvallen ook worden gebruikt voor andere malware-aanvallen. Het was een krachtig nieuw hulpmiddel: het inzetten van het grote kanon is een grote verschuiving in tactiek en heeft een zeer zichtbare impact, schreven Weaver en zijn co-auteurs.

De aanval duurde dagen. Het Citizen Lab-team zei dat ze de effecten ervan twee weken konden observeren nadat de alarmen van GitHub voor het eerst afgingen. Toen de GitHub-ontwikkelaars moeite hadden om de aanval te begrijpen en een routekaart voor toekomstige incidenten te bedenken, ontstond er verwarring binnen de cyberbeveiligingsgemeenschap. Waarom had China zo'n openlijke aanval gelanceerd, op zo'n botte manier? Het was overdreven, vertelde Weaver me. Ze hielden de aanval gaande lang nadat het niet meer werkte.

Het was een boodschap: een schot voor de boeg van de architecten van de Great Firewall, die – nadat ze thuis het internet hadden veroverd – nu steeds meer het mik naar het buitenland richtten, onwillig om uitdagingen aan te gaan voor hun systeem van controle en censuur, waar ze ook waren. kwam van.




De GitHub-aanval was een zeldzame openbare vertoning van de aanvalskracht van de Chinese cyberstaat, die er meestal de voorkeur aan gaf zijn capaciteiten achter de schermen uit te oefenen. Sommige van die mogelijkheden werden bij toeval ontdekt in januari 2009.

Op de zolder van een groots oud gebouw van rode baksteen in het midden van de campus van de Universiteit van Toronto, net ten noorden van het stadscentrum, staarde Nart Villeneuve ongelovig naar zijn computerscherm. Villeneuve was een afgestudeerde student aan de universiteit en een onderzoeker bij Citizen Lab. Hij volgde een geavanceerde cyberspionagegroep die computers, e-mailaccounts en servers over de hele wereld infiltreerde en hun gebruikers en inhoud bespioneerde. De aanvallers hadden de zogenaamde spear-phishing-e-mails zorgvuldig op maat gemaakt, zodat het leek alsof ze afkomstig waren van vrienden en collega's van het doelwit, waardoor mensen werden overtuigd om malware op hun machines te downloaden en zichzelf onbewust open te stellen voor toezicht. De campagne was vergevorderd, maar de makers leken ook iets heel stoms te hebben gedaan.

Villeneuve pakte zijn telefoon en belde Ron Deibert, zijn supervisor en de oprichter van Citizen Lab.

Zoals Deibert vertelt in zijn boek Black Code: Inside the Battle for Cyberspace Villeneuve had een command-and-control-server ontdekt voor malware die zich wijd verspreidde over het internet.

Ik doe mee, fluisterde Villeneuve in zijn telefoon.

Hun onderzoek was maanden eerder begonnen in Dharamsala, een Indiase stad waarnaar de Dalai Lama in 1959 was gevlucht en die nu het centrum is van de Tibetaanse gemeenschap in ballingschap. Greg Walton, een veldonderzoeker van Citizen Lab, bezocht het gebied al jaren. Eind jaren negentig en begin jaren 2000 hielp Walton bij het uitbreiden van het werk van de twee vorige Tibetaanse internetpioniers, Dan Haig en Thubten Samdup, die hielpen om Dharamsala met het World Wide Web te verbinden in een tijd dat de rest van India nauwelijks bedraad was. . Walton bouwde websites voor verschillende NGO's en overheidsdiensten, gaf computerlessen en hielp mensen bij het opzetten van e-mailaccounts. Terugkijkend realiseerde hij zich dat ze maar al te veel gevangen waren in de voordelen van internet, en het vermogen ervan om de steeds verder verspreide Tibetaanse diaspora te verbinden en te verenigen, om de nadelen te bedenken. Hoewel de begindagen zwaar waren en de technologie gammel, kreeg het internet snel voet aan de grond in Dharamsala. Er werd weinig aandacht besteed aan de veiligheid.

Deze nieuwe waarschuwingen waren veel effectiever - en griezelig - omdat ze naar buitenlandse leiders werden gestuurd toen plannen niet publiekelijk waren onthuld.

Nadelen van de vroege adoptie van internet door Tibet werden al snel duidelijk. De Chinese regering zou boze brieven naar buitenlandse leiders sturen terwijl ze probeerden een ontmoeting met de Dalai Lama op te zetten, nog voordat de gebeurtenissen werden aangekondigd. De Chinese regering had al lang publiekelijk bezwaar gemaakt tegen elke betrokkenheid bij separatisten. Maar zoals mensen binnen de Tibetaanse gemeenschap me vertelden, waren deze nieuwe waarschuwingen veel effectiever - en griezelig - omdat ze naar buitenlandse leiders werden gestuurd toen plannen niet publiekelijk waren onthuld. De Chinese regering wilde dat alle betrokkenen wisten dat ze luisterden.

Tibetanen uit de diaspora die het door China gecontroleerde gebied overstaken, werden aan de grens vastgehouden en ondervraagd. Als ze betrokkenheid bij de politiek probeerden te ontkennen, werden hun eigen e-mails gepresenteerd als bewijs. Een vrouw die werkte aan een outreach-programma in Dharamsala dat financiering ontving van de door de Amerikaanse regering gesteunde Voice of America, stak vanuit Nepal Tibet binnen toen ze werd tegengehouden door de Chinese politie. Ze kreeg afdrukken van haar privécommunicatie met mensen in het door China gecontroleerde Tibet. Een andere vrouw, een Amerikaanse geleerde die in Peking woont, kreeg een uitnodiging voor thee met veiligheidsfunctionarissen, een semi-regelmatige gebeurtenis voor iedereen die te maken heeft met gevoelige kwesties in China. Gevraagd naar haar e-mailadres, gaf ze de beveiligingsfunctionarissen een dummy-account die ze nergens anders voor gebruikte; twee dagen later probeerde iemand dat adres te hacken.

In Dharamsala werd computer na computer uitgeschakeld door agressieve malware die niet was ontworpen om te spioneren, maar om te saboteren.

Het was duidelijk dat iemand het op Tibetanen had gemunt. Alle tekenen wezen naar China, maar de bron van de operatie was onduidelijk. Werden de Tibetanen het doelwit van de veiligheidsdiensten, door het leger, door zogenaamde patriottische hackers, of door een combinatie van alle drie?

In samenwerking met Tibetaanse beveiligingsexperts begon Walton met het verzamelen van voorbeelden van vage e-mails en malware. Een van die lokale experts was Lobsang Gyatso Sither. Sither werd geboren in Dharamsala in 1982, als een van een generatie ballingen die nog nooit in Tibet hebben gewoond. Hij studeerde computerwetenschappen in India en het Verenigd Koninkrijk, en had Dharamsala grotendeels achtergelaten toen hij Walton in Londen aan het eind van de jaren 2000 ontmoette en hoorde over de doelwitten van Tibetanen. Hij keerde met Walton terug naar de Himalaya en de twee begonnen samen te werken met het kantoor van de Dalai Lama en elk ander duidelijk doelwit om hacks en cyberaanvallen tegen te gaan.

In het begin waren de aanvallen vrij eenvoudig: e-mails in gebrekkig Engels zouden gebruikers aanmoedigen om uitvoerbare bestanden uit te voeren. Alleen zouden ze niet al te veel onrust hebben gewekt, maar toen Walton, Sither en anderen steeds meer monsters verzamelden, begonnen ze de omvang van de campagne te zien. De hele gemeenschap werd het doelwit, hoewel de meeste hackers weinig interesse zouden hebben, vertelde Sither me.

Zelfs individuen die niet direct gerelateerd zijn aan een belangrijk doelwit kunnen nuttig zijn voor hackers. Net zoals de politie die een maffiazaak vervolgt, kunnen hackers hogerop komen in de keten door gecompromitteerde accounts te gebruiken om achter de uiteindelijke doelen en hun medewerkers aan te gaan met meer geloofwaardige phishing-aanvallen.

De aanvallers hielden het succes van hun operatie nauwlettend in de gaten. Toen een grote educatieve campagne werd gelanceerd om Tibetanen aan te moedigen geen bijlagen te openen en in plaats daarvan te vertrouwen op cloudgebaseerde diensten zoals Google Drive om documenten te delen, verscheen er snel nieuwe malware. Het was specifiek gericht op de diensten die de educatieve campagne had aanbevolen.

Voordat Villeneuve de command-and-control-server ontdekte, had het team alleen de doelen van de malwarecampagne kunnen volgen, niet de aanvallers zelf. Nu kon Villeneuve precies zien wat de aanvallers aan het doen waren op de computers waartoe ze toegang hadden. Het primaire wapen in de toolkit van de hackers was een enkel stukje malware, oorspronkelijk ontwikkeld door Chinese programmeurs en later geport naar het Engels, de Gh0st Remote Administration Tool of Gh0st Rat genoemd.

Door hun onderzoek in Dharamsala kon het Citizen Lab-team zien dat de malware die op Tibetanen was gericht, communiceerde met servers in Hainan, een Zuid-Chinees eiland. De hack was gericht op militaire functionarissen, wetgevers, journalisten en honderden anderen in Dharamsala, in heel India en elders in Azië, wier activiteiten werden bewaakt door de hackers. Vrijwel zeker, zo schreef het team in zijn rapport, worden documenten verwijderd zonder medeweten van de doelwitten, toetsaanslagen gelogd, webcams stil geactiveerd en audio-ingangen heimelijk geactiveerd. Hoewel Citizen Lab niet definitief kon zeggen wie er achter de hack zat, concludeerde het rapport dat deze reeks spraakmakende doelen hoogstwaarschijnlijk door de Chinese staat is uitgebuit voor militaire en strategische inlichtingendoeleinden.

Het rapport kwam tot deze conclusie omdat het eiland Hainan onderdak bood aan de Lingshui-signaalinlichtingendienst en een afdeling van de Derde Technische Afdeling van het Volksbevrijdingsleger, een Chinese tegenhanger van de National Security Agency. GhostNet, zoals het Citizen Lab-team de hack noemde, was een van de eerste tekenen van de vermeende hackmogelijkheden van de PLA. Binnen enkele jaren zou de FBI verschillende vooraanstaande militaire functionarissen aanklagen voor het aanvallen van Amerikaanse bedrijven en instellingen, voor zowel industriële als militaire spionage. De PLA kreeg ook de schuld van een hack van het Office of Personnel Management (OPM), een groot federaal personeelsbureau, dat de persoonlijke gegevens van tot 18 miljoen huidige, voormalige en toekomstige federale werknemers in gevaar bracht.

De OPM-hack werd in juni 2015 publiekelijk aangekondigd. Een paar maanden later president Barack Obama gehost De Chinese leider Xi Jinping in het Witte Huis, waar de twee mannen een bilaterale overeenkomst ondertekenden waarin werd beloofd dat de regering van geen van beide landen cyberdiefstal van intellectueel eigendom, inclusief handelsgeheimen of andere vertrouwelijke informatie, zal plegen of bewust zal steunen. De deal was een grote diplomatieke overwinning voor Obama toen hij het einde van zijn tweede termijn naderde, en de eerste tekenen van vooruitgang waren goed, maar goed toezicht werd grotendeels ondermijnd door de Amerikaanse verkiezingen van 2016 en de daaropvolgende furore over vermeende Russische hacking van de Democratische Partij. Doordat de zorgen over schimmige hackers die Amerikaanse instellingen zouden ondermijnen verschoven van Peking naar Moskou, werd er minder aandacht besteed aan de rol van de Chinese overheid bij toekomstige aanslagen.

Ondertussen blijven hackers zich richten op de Tibetaanse gemeenschap in ballingschap, en degenen in de diaspora blijven terugvechten. In klaslokalen en vergaderzalen in Dharamsala geven Sither en andere beveiligingsexperts workshops over e-mailversleuteling, veilige berichtenapps en andere manieren om online veilig te blijven. De mensen met wie Sither werkt, reageren over het algemeen op twee manieren op de constante cyberdreiging: ambivalentie of paranoia. Beide reacties frustreren hem. Sommige mensen zijn onvermurwbaar dat ze niets te verbergen hebben; maar als hun rekeningen worden gecompromitteerd, kan dit gevolgen hebben voor degenen die wel degelijk dingen hebben die ze voor de Chinese overheid willen verbergen. Anderen zijn zo geschrokken van het idee dat Chinese spionnen toekijken dat ze geen werk gedaan krijgen: precies het soort huiveringwekkende effect waar de censoren op hoopten. We proberen de balans te vinden tussen veiligheid en mensen niet te bang maken, vertelde Sither me. Het is soms een uitdaging.

Velen dachten dat internet democratie naar China zou brengen. In plaats daarvan heeft het overheidstoezicht en -controle mogelijk gemaakt die verder gaat dan de dromen van Mao Zedong.


GitHub en Tibetanen zoals Lobsang Sither behoorden tot de eerste slachtoffers op een nieuw front in China's oorlog op internet, gelanceerd door een nieuw soort censor die vastbesloten was om achter de vijanden van het land aan te gaan, waar ze ook zijn, met alle nodige middelen.

In december werd gemeld dat er in 2014 een hack van de internationale hotelketen Marriott was uitgevoerd door Chinese actoren. De inbreuk op het Marriott werd zo'n vier jaar nadat deze plaatsvond publiekelijk bekend gemaakt. Veel meer aanvallen zijn waarschijnlijk nog niet publiekelijk erkend, omdat bedrijven problemen onder de pet houden om de betrekkingen met China niet te schaden.

Marriott heeft ook de dupe van een andere Chinese censuurcampagne. In januari 2018 werd de website van Marriott in China geblokkeerd en moest het bedrijf een vernederende verontschuldiging aanbieden, nadat het Tibet en Hong Kong als afzonderlijke landen op een formulier had vermeld. Aangemoedigd door hun succes bij het dicteren van de voorwaarden aan Marriott, hebben Chinese functionarissen het op luchtvaartmaatschappijen en andere bedrijven gemunt over kwesties zoals het verkeerd identificeren van Taiwan.

Velen dachten dat internet democratie naar China zou brengen. In plaats daarvan heeft het overheidstoezicht en -controle mogelijk gemaakt die verder gaat dan de dromen van Mao Zedong. Nu richten de censoren hun aandacht op de rest van de wereld.


Dit verhaal is een uittreksel uit het nieuwe boek van James Griffiths De grote firewall van China: een alternatieve versie van internet bouwen en beheren , wordt in maart gepubliceerd door Zed Books. Griffiths heeft bericht vanuit Hong Kong, China, Zuid-Korea en Australië voor onder meer CNN International, de South China Morning Post, de Atlantic, Vice en de Daily Beast.

zich verstoppen