McAfee: China voert al vijf jaar grote hackaanval uit

China hackt al vijf jaar lang overheden en bedrijven in onder andere de Verenigde Staten, het Verenigd Koninkrijk en Duitsland. Dat beweert althans een beveiligingsonderzoeker van McAfee. De hacks zouden plaatsvinden via phishing.

De hacks worden uitgevoerd doordat medewerkers van overheden, non-profit-organisaties en bedrijven een mail krijgen met een link. Als de gebruiker op die link klikt, wordt malware met een backdoor geïnstalleerd, zegt McAfee. Via het account van degene die op de link heeft geklikt, kan vervolgens in systemen worden rondgeneusd. De verkregen informatie kan worden doorgestuurd. In sommige gevallen konden de aanvallers meer dan twee jaar informatie vergaren.

De slachtoffers waren vooral overheden, bedrijven die werken voor overheden en organisaties die te maken hebben met de Olympische Spelen. McAfee meldt alleen geslaagde aanvallen, het is onduidelijk waar de aanval is afgeslagen. Het beveiligingsbedrijf kwam de aanval op het spoor via zijn software, die in 2009 voor het eerst verdachte zaken opmerkte.

McAfee denkt dat China achter de aanval zit, omdat in vrijwel alle landen van Zuidoost-Azië aanvallen zijn uitgevoerd, terwijl China buiten schot bleef, staat te lezen in Vanity Fair. Daarnaast werden diverse 'Olympische' aanvallen uitgevoerd rond 2008, het jaar waarin de Spelen in Beijing werden gehouden. Bovendien hebben de bedrijven, instellingen en overheden die werden aangevallen, informatie die de Chinese staat graag wilde hebben. Het beveiligingsbedrijf noemt de hackaanval Operation Shady RAT. RAT staat in dit geval voor remote access tool, het genre waaronder de malware valt. McAfee heeft zijn bevindingen samengevat in een whitepaper.

De aanval concentreerde zich in de Verenigde Staten, maar ook in Europa zijn enkele geslaagde aanvallen uitgevoerd. Zo konden de aanvallers in 2008 een halfjaar rondneuzen in de systemen van een Deens satellietcommunicatiebedrijf. Van 2008 tot 2010 hadden ze toegang tot systemen van de VN in Zwitserland. Daarna werd in 2009 toegang verkregen tot interne informatie van een bedrijf dat zaken doet voor het Britse leger en van een Duits accountantsbedrijf.

Veel van de betrokken organisaties ontkennen te zijn gehackt, wat McAfee toeschrijft aan onwil om het toe te geven. McAfee roept op tot meer cyberbeveiliging, waarbij het belang heeft als maker van de benodigde software. Buiten de claims van McAfee is er nog weinig ondersteunend bewijs voor de grote hackaanval.

Kaart van getroffen landen bij Operation Shady RAT (bron: McAfee)

IT-banen

Reacties (197)

RegurBellej 3 augustus 2011 09:39

Het zijn louter aannames, geen harde bewijzen.
Daarnaast lijkt het me niet reeel dat medewerkers van bijvoorbeeld het VN voorbeeld, op links in rare mails gaan drukken en dat dit soort activiteiten onopgemerkt blijven bij de bedrijven zelf.

Ruikt naar een promotiestunt van mcAfee, wat ik overigens waardeloze antivirus vind!

Gizzy @RegurBellej • 3 augustus 2011 09:47

Haha, medewerkers die niet op links klikken. Dat is wel de slechtste aanname op deze hele webpagina. Mensen blijven mensen en mensen doen dingen die ze eigenlijk niet moeten doen. Mails kunnen redelijk eenvoudig voor 80% goed lijken, mensen klikken dan al snel ergens op in hun dagelijkse werkzaamheden. Beveiliging is altjid zo sterk als de zwakste schakel. 9/10 keer is die zwakste schakel de mens lijkt me. Of hij beheert de firewall niet goed, een patch wordt niet uitgevoerd etc. Je kan een lek 9/10 terugleiden op een menselijke fout vooral bij phishing.

Doe aub geen aannames waar het aankomt op gedrag van mensen, want die zijn zeer onvoorspelbaar.Het lijkt mij dan ook zeer reeël dat een medewerker, die minder op de hoogte is van informatie beveiligingsrisico's, van een VN kantoor op een link klikt als hij denkt dat het om de notulen van afgelopen week gaan die nu in een secure workroom staan gepubliceerd ter inzage. Is maar hoe de mail het brengt en hoe zeer binnen de verschillende kantoren wordt gehamerd op security issues.

Ad topic: Ik denk dat alle landen wel eens wat aanvallen doen her en der, als is het maar om te checken hoe de beveiliging erbij staat. Als een hackaanval lukt, ga je hier als land denk ik niet bij de VN of Navo over liggen zeuren, want ja dan geef je in principe toe dat je aan het prutsen bent. Er zit dus net zoals vroeger tijdens de koude oorlog een taboe op gelukt aanvallen en het uitkomen daarvan. Als ze heel spectucalair zijn oid, dan komen ze wel in de generieke media, maar meestal worden dat soort aanvallen alleen bekend in het spionage of beveiligingswereldje (aanname). Het is een steekspel, nu niet zozeer met mensen misschien maar meer met het internet. De combinatie van mensen en het internet in deze is dan weer zeer interessant.

[Reactie gewijzigd door Gizzy op 23 juli 2024 06:34]

Verwijderd @RegurBellej • 3 augustus 2011 09:56

Je zou verwonderd zijn hoe sommige mensen zijn eens ze achter een pc zitten. De meeste klikken maar wat en zeker als er staat hier klikken.

Dreamvoid

Malware

@RegurBellej • 3 augustus 2011 09:47

O ik geloof dit heel goed. Toen ik voor een grote Amerikaanse multinational werkte kreeg ik bijna elke dag emailtjes van Chinese domains (verified!) die me probeerden te verleiden op bepaalde .cn websites te gaan en zogenaamd hun 'industriele produktportfolio' te bekijken.

En ja, dit zouden ook andere hackers kunnen zijn, maar het is niet zo simpel voor een buitenlandse partij om een .cn domein te krijgen zonder dat de chinese geheime dienst er lucht van krijgt. Ik ben geen James Bond, maar if it looks like a duck, quacks like a duck...

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 06:34]

Fireshade @Dreamvoid • 3 augustus 2011 10:12

Die mails kunnen net zo goed gewoon spam zijn van/voor chinese bedrijven. En die kunnen heel normaal aan .cn domeinen komen, net zoals wij .nl domeinen. Daar is niets raars aan. China is tenslotte 's werelds grootste productiefabriek.
Denken dat elke .cn mail een "hackmail" is, lijkt me gewoon paranoide en echt overdreven. Tenzij je dat zo kan staven.

Dreamvoid

Malware

@Fireshade • 3 augustus 2011 10:27

Ik bewonder je geloof in de eerlijkheid van de mens, maar als iets er 100% uit ziet als een phishing mail, dan is het in mijn boek een phishing mail en niet een eerlijke-spammer-die-per-ongeluk-een-mail-verstuurt-die-op-phishing-lijkt. En aangezien de Chinese geheime dienst alle verkeer in en uit China controleert, laten ze dit soort mails dus bewust door.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 06:34]

humbug @Dreamvoid • 3 augustus 2011 11:45

Niet overdrijven. Het aanvragen van een cn domein kan ook als buitenlander binnen een zeer korte termijn. Je hoeft zelfs geen lokaal adres te hebben. Er zijn namelijk genoeg internetboeren die dat voor je willen regelen. Sterker nog, ik denk dat het gebruik van een cn domein voor een spammer aantrekkelijker is dan de meeste anderen

Dreamvoid

Malware

@humbug • 3 augustus 2011 12:50

Het is makkelijk om een .cn te krijgen, maar niet makkelijk om vervolgens aan de controle van de Chinese geheime dienst te ontkomen.

stresstak @humbug • 3 augustus 2011 16:54

Maal dat .cn domein gebruikt wordt voor phishing is de Chinese Geheime Dienst daar toch niet direct op tegen als het genoeg info en toegang oplevert ?

Verwijderd 3 augustus 2011 09:52

Scareware? Ik vind heel het verhaal maar wat raar klinken. Hoe kunnen ze dit allemaal weten als ze zelf geen toegang hebben/hadden tot deze systemen.

xibalba @Verwijderd • 3 augustus 2011 09:57

"McAfee has gained access to one specific Command & Control server used by the intruders. We have collected logs that reveal the full extent of the victim population since mid-2006 when the log collection began."

thefox154 3 augustus 2011 09:34

MCafee beweerd nog niets...

McAfee is er van overtuigd dat er één land achter de aanval zit, maar wil niet zeggen welk land dit (waarschijnlijk) is. Een onderzoeker van het bedrijf dat ingelicht is over het onderzoek stelt tegenover Reuters dat het hoogstwaarschijnlijk om China gaat.

Weer een aanname in de titel. Begint hier de laatste tijd een beetje op telegraaf te lijken. Sensatie pers.

phamoen @thefox154 • 3 augustus 2011 10:13

Niet overdrijven.
Vind het zeker een tweakers waardig artikel...
Er staat duidelijk: "McAfee:...."
Er wordt dus niet gesteld dat het waar is.
Ik lees graag zulk soort artikeltjes op tweakers en aan het aantal comments te zien anderen ook...;)

Buggle @phamoen • 3 augustus 2011 10:43

Het gaat erom dat McAfee helemaal niet zegt dat China het gedaan heeft.
Een werknemer van het bedrijf, niet eens het bedrijf zelf, denkt dat de kans groot is dat China hier achter zit, maar dat komt alleen maar uit indirect bewijs.
Dit is dus inderdaad sensatieberichtgeving, erop uit om meer viewers te trekken ten koste van een (ja, ik weet het, waar rook is is vuur, maar toch) ander. Ook al is de eigenlijke boodschap genuanceerder, de vluchtige lezer van dit artikel denkt dat China dus de schuldige is en dat daar bewijs voor is.
En dat is dus helemaal niet zo.
Ik noem dat verwerpelijk.

Baserk @Buggle • 3 augustus 2011 14:31

Het is niet eens een werknemer van McAfee die het zegt.
In het blad Vanity Fair, dat bericht over het McAfee 'RAT rapport', wordt een 'director and senior fellow of the Technology and Public Policy Program at the Center for Strategic and International Studies', ene meneer James A. Lewis gequote.
Deze zou hebben gezegd; “All the signs point to China,”. link

McAfee, het bedrijf, heeft China dus niet genoemd en ook geen werknemer van McAfee.
Maar een directeur/senior fellow van een Amerikaanse denktank dus.

Tweakers redactie mag de kop en de inhoud van het artikel dus wel een beetje aanpassen inderdaad.
Correcte kop zou zijn; Nav een McAfee rapport; "China voert al vijf jaar grote hackaanval uit".

[Reactie gewijzigd door Baserk op 23 juli 2024 06:34]

Verwijderd @phamoen • 3 augustus 2011 11:18

Niet overdrijven.
Vind het zeker een tweakers waardig artikel...
Er staat duidelijk: "McAfee:...."
Er wordt dus niet gesteld dat het waar is.
Ik lees graag zulk soort artikeltjes op tweakers en aan het aantal comments te zien anderen ook...;)

Als McAfee dat nou ook gezegd zou hebben had je helemaal gelijk. Maar nu is het een suggestieve en feitelijk onjuiste kop. Tweakers onwaardig. In een krant zou dit tot een rectificatie geleid hebben. De redacteur heeft de paper eenvoudig niet gelezen en waarschijnlijk een nieuwsbericht van een andere site vertaald.

En natuurlijk is de studie wel leerzaam en een nieuwsbericht erover waardevol! Alleen niet zo.

n4m3l355 @thefox154 • 3 augustus 2011 09:44

Inderdaad een beetje erg sensationeel, tevens de beargumentering waarom het misschien China zou kunnen zijn is wel erg zwak.
quote "vrijwel alle landen van Zuidoost-Azië aanvallen zijn uitgevoerd, terwijl China buiten schot bleef" Als ik het kaartje zo bekijk kan ik zo nog 10 landen opnoemen in Azie die niet hebben meegedaan. De informatie die vergaard is (zonder te weten wat dit nou precies is) lijkt me een erg makkelijke aanname. Ik kan me goed voorstellen dat de vergaarde kennis interessant voor iedereen is.

Verder vind ik het verwonderlijk dat dit keer op keer breed in het nieuws komt. Het lijkt erop dat China dit enkel doet maar grootmachten zoals de UK/US/Rusland doen dit constant, sterker nog hebben zelfs complete systemen ingericht om iedereen af te luisteren.

Kortom, leuks nieuwsberichtje, lekker sensationeel, inhoudelijk vrij prut en om het af te maken zonder dit in verband te zien met hoe collega landen omgaan met onze privacy niet echt waardevol.

Xubby @n4m3l355 • 3 augustus 2011 10:46

McAfee heeft een aardig reclame praatje verspreid.
Inderdaad, de VS spioneren ook aardig:
Echelon bestaat, kennelijk, "nog maar" sinds 1947 ...:

"The US, UK, Canada, Australia and New Zealand created Echelon as part of an Anglo-Saxon club, set up by secret treaty in 1947. The five countries divided up the world to share the product of global eavesdropping."

http://www.greaterthings....er/Organizations/Echelon/
http://www.guardian.co.uk.../may/29/qanda.janeperrone

Ook off-topic: een paar Chinese kernbommen op de VS, en het land ligt daar ook gewoon plat ...

humbug @thefox154 • 3 augustus 2011 11:41

McAfee is een stuk slimmer dan Google. Waarschijnlijk wil men het kantoor in Beijing nog niet sluiten en dus stelt men niet hardop dat men denkt dat China verantwoordelijk is.

KaWaReZ

3 augustus 2011 09:35

En dit zijn allemaal dingen die ALLEEN McAfee heeft geregistreerd..... dan heb je nog norton, Trend, avg, avast, kaspersky etc etc etc etc....

denk dat dit slechts een topje van de ijsberg is

Fireshade @KaWaReZ • 3 augustus 2011 10:03

denk dat dit slechts een topje van de ijsberg is

Inderdaad, we moeten nog zien wat voor hacks de VS, UK en Rusland allemaal niet hebben uitgevoerd bij andere landen. Zo, dat zou nog eens nieuws zijn!

Verwijderd 3 augustus 2011 09:46

In China wordt je ook online gecensureerd.

Ben er enkele keren geweest en als ik surf op het internet werd me een heel duidelijk patroon duidelijk.
Iedere keer als ik op naar een "nieuwe" site probeer te navigeren dan was er een vertraging van vele seconden, net alsof iemand die specifieke link voor je gaat bekijken. Uiteindelijk is de pagina ok bevonden, en kan ik vrijelijk en snel navigeren op zo'n site.

Een volgende dag gebeurt keer op keer met "nieuwe" sites, echter de "onschuldige" sites die ik in de voorgaande dagen bekeken heb, hebben dan geen last meer van seconde lange vertragingen.

Scary stuff.

Verwijderd @Verwijderd • 3 augustus 2011 11:22

Dus jij denkt dat elke klik die gedaan word eerst door een persoon gecontroleerd word? En dat die mensen alle talen spreken (hoe moeten ze anders weten dat Tweakers een hele mooi site is en geen 'foute')?

lol.

Verwijderd @Verwijderd • 3 augustus 2011 09:54

Ja en soms lag verbinding naar Google er even uit, maar in algemeen kon ik in China goed surfen, in Nederland gebeurt censureer ook gewoon maar zijn die mensen zelf die dit uitvoeren.

Xubby @Verwijderd • 3 augustus 2011 12:41

In China wordt je ook online gecensureerd.
[...]
Iedere keer als ik op naar een "nieuwe" site probeer te navigeren dan was er een vertraging van vele seconden, net alsof iemand die specifieke link voor je gaat bekijken.

Misschien stond je "nieuwe site" nog niet op de proxy achter "The Great Wall"?

BBenedictus 3 augustus 2011 09:51

Ik snap niet hoe het mogelijk is om überhaupt op computers van de overheid software te installeren! Dit soort gebruikers zouden toch juist het meest beveiligd moeten zijn? En eigenlijk het liefste nog helemaal van internet afgesloten moeten zijn!

Backdoor/Trojan of weet ik veel wat zou zich niet moeten kunnen nestelen op deze machines. En al helemaal niet eens de kans mogen krijgen..

Verwijderd @BBenedictus • 3 augustus 2011 10:29

De gebruiker is veruit de zwakste schakel in de beveiliging, met name door USB sticks die vanuit huis worden meegenomen en dan op kantoor weer worden gebruikt.

Onvoorstelbaar hoe laks mensen zijn met beveiliging, het is 100% gemakzucht.

Echter, ik ken verder ook niemand die in zijn auto een voertuigvolgsysteem laat inbouwen, altijd als hij parkeert een stuurklem gebruikt en een wielklem en als laatste de accu er ook mee uit neemt.

Gigapower 3 augustus 2011 10:08

Door de titel lijkt het net alsof der chinese staat erachter zit maar het kunnen toch gewoon particulieren zijn, gewone burgers die dit doen? Zoals die Nigeriaanse scammers zeg maar.

Dreamvoid

Malware

@Gigapower • 3 augustus 2011 10:32

Een scammer wil geld, geen overheidscorrespondentie. En bovendien, de Chinese overheid monitort alle verkeer in en uit China - dus als het particuliere hackers zijn in China zelf, dan weet de geheime dienst ervan en laat het bewust toe.

mrlammers 3 augustus 2011 11:54

McAfee denkt dat China achter de aanval zit, omdat in vrijwel alle landen van Zuidoost-Azië aanvallen zijn uitgevoerd, terwijl China buiten schot bleef

...en daarom zijn brandweerwagens rood.

Sorry hoor, maar dat is non-argumentatie. Hebben ze bij McAffee überhaupt nagedacht voordat hun whitepaper met zoveel kleur naar buiten hebben gebracht? Wat een sofisten daar.

This allowed McAfee to identify the victims by name (using their Internet Protocol [I.P.] addresses) and to track the pattern of infections in detail.

En dan doen de 'experts' er nog een schepje bovenop:

One leading cyber-espionage expert, however, thinks the likely culprit’s identity is clear. “All the signs point to China,” says James A. Lewis, director and senior fellow of the Technology and Public Policy Program at the Center for Strategic and International Studies

Want hoe moeilijk is het nou eigenlijk om je aanval te routen via China en de oorsprong obscuur te houden?
Precies. Niet zo moeilijk.

[Reactie gewijzigd door mrlammers op 23 juli 2024 06:34]

Dreamvoid

Malware

@mrlammers • 3 augustus 2011 12:52

Want hoe moeilijk is het nou eigenlijk om je aanval te routen via China en de oorsprong obscuur te houden?

Best moeilijk, want de Chinese geheime dienst kijkt mee bij al het verkeer in en uit China.

mrlammers @Dreamvoid • 3 augustus 2011 14:54

Genoeg anonieme proxies en open proxies in China hoor. Google maar eens wat. En er zijn meer manieren om je eigen IP te verstoppen...

elmoxx 3 augustus 2011 09:39

Inderdaad, denk niet dat china de enige is die dit soort acties uithaalt. Wel moet je behoorlijk zeker zijn van je zaak om dit te publiceren. Ik kan me namelijk voorstellen dat McAfee dit terug gaat zien in het aantal gebruikers.

Robino 3 augustus 2011 09:40

Ongeacht welk land de hackaanvallen coördineert moet men het gewoon zien als moderne spionage. De conclusie dat China de hackaanvallen uitvoert is niet geheel sterk. Het lijkt er meer op dat McAfee de gevaren wilt laten zien, dan daadwerkelijk met de vinger naar China wijst:

One leading cyber-espionage expert, however, thinks the likely culprit’s identity is clear. “All the signs point to China,” says James A. Lewis, director and senior fellow of the Technology and Public Policy Program at the Center for Strategic and International Studies, adding, “Who else spies on Taiwan?”

_{Bron: Vanity Fair}

Op dit item kan niet meer gereageerd worden.

McAfee: China voert al vijf jaar grote hackaanval uit

Lees meer

IT-banen

Reacties (197)

Sorteer op:

Weergave: