Rapport zegt China klaar voor cyberoorlog, spionage

China wil waarschijnlijk de overhand krijgen in toekomstige cyberconflicten en zal waarschijnlijk Amerikaanse bedrijven en de overheid bespioneren, volgens een rapport in opdracht van een Congresadviespanel dat toezicht houdt op de veiligheidsimplicaties van handel met China.

Het rapport schetst de stand van zaken in China op het gebied van hacking en cyber-oorlogsvoering, en concludeert dat "China waarschijnlijk gebruik maakt van zijn groeiende computernetwerkexploitatiemogelijkheid om het verzamelen van informatie tegen de Amerikaanse overheid en de industrie te ondersteunen door middel van een langlopende, verfijnde exploitatiecampagne voor computernetwerken." Gepubliceerd donderdag, het rapport is geschreven door Northrop Grumman-analisten in opdracht van de US-China Economic and Security Review Commission.

Overheidsagentschappen en militaire aannemers zijn al jarenlang getroffen met gerichte, goed gemaakte aanvallen, waarvan er vele lijken te zijn zijn ontstaan ​​in China. Maar dit rapport beschrijft in detail hoe veel van deze aanvallen zich voordoen, inclusief een aanval die een niet-gepatched gebrek in Adobe Acrobat uitbrak dat eerder dit jaar was hersteld.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Onder verwijzing naar US Air Force-gegevens uit 2007, zegt het rapport dat ten minste 10 tot 20 terabytes aan gevoelige gegevens zijn ontvoerd uit Amerikaanse overheidsnetwerken als onderdeel van een "langdurige, aanhoudende campagne om gevoelige maar niet-geclassificeerde informatie te verzamelen." Sommige van deze informatie wordt gebruikt om zeer doelgerichte en geloofwaardige phishing-berichten te maken die vervolgens leiden tot het compromis van nog meer computers.

Het rapport beschrijft geavanceerde, methodische technieken en speculeert op mogelijke verbindingen tussen Chinese overheidsinstanties en de hackersgemeenschap van het land, in toenemende mate een bron van voorheen onbekende "zero-day" computeraanvallen.

"Er is weinig bewijs in open bronnen om hechte banden te smeden tussen het [Volksbevrijdingsleger] en de Chinese hackergemeenschap, maar onderzoek bracht beperkte gevallen aan van kennelijke samenwerking tussen meer individuele elite-hackers en de burgerbeveiligingsdiensten van de [Volksrepubliek China] ", aldus het rapport.

Als dat klopt, zou dat niet echt een verrassing zijn. De Amerikaanse overheid is al jaren aanwezig op de Defcon hacker-conventie en het Amerikaanse ministerie van Defensie is het zelfs de afgelopen jaren gaan gebruiken als een rekruteringsvoertuig.

De Adobe Acrobat-aanval werd door aanvallers van zwarte hoeden aangeleverd die begin 2009 op een niet bij naam genoemd Amerikaans bedrijf waren gericht. De aanvallers werkten non-stop in ploegendiensten en snuffelden rond het netwerk totdat een operatorfout veroorzaakte dat hun rootkit-software crashte en ze uit het systeem blokkeerde.

In een typische gerichte aanval, was het slachtoffer ontvangt een e-mailbericht met een kwaadwillig vervaardigd kantoordocument als bijlage. Het kan worden verkleed als het schema of registratieformulier voor een volgende conferentie, bijvoorbeeld. Wanneer het wordt geopend, wordt de zero-day-aanval uitgevoerd en beginnen cyberthieves met het verzamelen van informatie die mogelijk in toekomstige campagnes wordt gebruikt. Ze snuiven netwerk- en beveiligingsinstellingen op, zoeken naar wachtwoorden en passen zelfs virtuele privénetwerksoftware aan zodat ze weer toegang tot het netwerk kunnen krijgen. In sommige gevallen hebben ze versleutelde rootkits geïnstalleerd om hun tracks te verbergen of om stoppunten in te stellen om te verhullen dat gegevens van het netwerk worden verplaatst.

In een ander geval geciteerd door Northrop Grumman hadden de aanvallers duidelijk een vooraf gedefinieerde lijst van wat ze wel en niet zouden willen, wat suggereert dat ze al verkenningen op het netwerk hadden uitgevoerd. "De aanvallers hebben de gegevens voor exfiltratie zorgvuldig geselecteerd", stelt het rapport. "Dit soort operationele technieken zijn niet kenmerkend voor amateur-hackers."

Eerder dit jaar beschreven Canadese onderzoekers een vergelijkbaar geavanceerd cyberspionagenetwerk, GhostNet geheten, tegen internationale overheidsinstanties en pro-Tibetaanse groepen zoals het Bureau van Zijne Heiligheid de Dalai Lama.

Hoewel de auteurs van het GhostNet-rapport de spionage niet leken te verbinden aan de Chinese overheid, deden sommige onderzoekers dat.