China wordt de malwarefabriek van de wereld

Met de afkoelende economie van China, sommige van de IT-professionals in het land wenden zich tot cybercriminaliteit, volgens een in Peking gevestigde beveiligingsdeskundige.

Sprekend tijdens de CanSecWest-beveiligingsconferentie vorige week zei Wei Zhao, CEO van Knownsec, een beveiligingsbedrijf uit Beijing dat terwijl veel Chinese werknemers moeilijke tijden hebben, is het bedrijf nog steeds booming in de industrie van cybercriminaliteit. "Toen de aandelenmarkt als een steen daalde, verloren veel IT-professionals veel geld op de aandelenmarkt," zei hij. "Dus soms verkopen ze 0 dagen," zei hij, verwijzend naar voorheen onbekende softwarefouten.

"China is niet alleen de fabriek van de wereld, maar ook de malwarefabriek van de wereld", zei Zhao.

[Lees meer: ​​Hoe verwijder malware van uw Windows-pc]

De roodgloeiende economie van China is getroffen door de wereldwijde recessie en terwijl de economie nog steeds groeit, hebben technologiebedrijven zoals Intel, Motorola en Lenovo in de afgelopen maanden allemaal werknemers ontslagen in China.

Afgelopen december ontdekten Chinese hackers een eerder niet bekendgemaakte 0day-kwetsbaarheid in Internet Explorer. Toen medewerkers van het bedrijf van Zhao per ongeluk informatie over de bug publiceerden op een openbaar forum, kreeg Microsoft scrambling om het probleem op te lossen.

Chinese hackers richten zich vaak op het hacken van software die op de desktop draait, in plaats van op de server, omdat de underground markt betaalt veel geld voor bugs aan de kant van de klant, die dan vaak worden gebruikt om kwaadwillende software op miljoenen desktops te installeren.

Terwijl recent onderzoek deed naar een enkele maar wijdverspreide aanval telden Zhao's onderzoekers meer dan 4 miljoen geïnfecteerde computers over een day-periode.

China heeft naar schatting 250 miljoen computergebruikers, dus aanvallers kunnen het best alleen Chinese systemen targeten. "We hebben een enorme hoeveelheid gebruikers en een zeer grote lokale markt", zei hij.

Hackers hebben veel succes gehad met het lanceren van wijdverspreide 0day-aanvallen tegen programma's als RealPlayer en Adobe Flash, maar ze hebben ook lokale Chinese programma's getroffen, inclusief Xunlei, QQ en UUSee.

Beveiliging is vaak niet veel meer dan een bijzaak voor lokale softwareontwikkelaars, zei Zhao.

"In China heb je al deze software van derden die erg populair is, maar die veel minder veilig is dan Microsoft-software ", zegt Wayne Huang, CEO van Web Security consultancy Armorize, die onderzoekslaboratoria in Taiwan heeft. Niet alleen zijn exploits voor Chinese programma's zoals QQ veel gemakkelijker te vinden - softwarebedrijven hebben de neiging om veel langer te doen om de exploits te patchen. "QQ zal niet zo snel kunnen reageren als Microsoft," zei hij.

Cyberaanvallen in de regio kunnen geniaal zijn. Eerder deze maand schakelden criminelen Taiwanese verkeer om naar de websites tw.msn.com en taiwan.cnet.com met behulp van wat bekend staat als een niet-blinde TCP-spoofingaanval.

In deze aanval slaagden de hackers er in om een ​​switch binnen te halen Singapore, het land waar de websites werden gehost, zei Huang. Vervolgens controleerden ze de overstap op verkeer en toen ze pakketten zagen op zoek naar de MSN- en Cnet-websites, verzond ze vervalste pakketten die de slachtoffers doorstuurden naar een kwaadwillende website die de aanvalcode lanceerde.

De aanval duurde ongeveer 10 dagen, deels omdat beveiligingsexperts het moeilijk hadden om uit te zoeken hoe het werkte. "Geen enkele aanval die ik heb gekend, is zo lang doorgegaan", zei Huang.

Hij was het ermee eens dat de economische neergang effect heeft gehad op de computerbeveiliging. "Mensen zijn terughoudender om kwetsbaarheden te onthullen omdat ze ze nu verkopen", zei hij, en Chinese nieuwsgroepen zijn nu overspoeld met berichten over hackers die grote uitbetalingen ontvangen voor hun exploitcodes.

"Ik denk dat de neergang absoluut de plaats delict heeft gemaakt een stuk actiever, "zei hij.