Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 59 reacties

Het Amerikaanse beveiligingsbedrijf Mandiant heeft een rapport naar buiten gebracht waaruit blijkt dat een Chinese spionage-eenheid honderden terabytes aan data van in ieder geval 141 bedrijven en organisaties heeft gestolen. Vijftien van die bedrijven zijn Europees.

De Chinese hackers verkregen meestal toegang via 'spear phishing'-e-mails. Daarbij werden e-mailadressen aangemaakt die lijken op die van echte werknemers van het bedrijf. Vervolgens werden de mails, vergezeld van een besmette bijlage, naar andere werknemers gestuurd. Met het openen van de bijlage werd vervolgens een backdoor opengezet, waarmee de hackers toegang tot het bedrijfsnetwerk konden kriPLA_Emblemjgen.

De hackers verpakten grote hoeveelheden data meestal in gesplitste en met een wachtwoord beveiligde rar-bestanden, die vervolgens naar hun ftp-servers werden gestuurd. In één geval hebben de hackers over een periode van 10 maanden maar liefst 6,5TB aan data van een bedrijf gestolen. De gestolen data omvatte gebruikersnamen, wachtwoorden en e-mails, naast bedrijfsinterne documenten over productieprocessen, documenten over productontwikkeling en beleidsplannen.

Het rapport dat Mandiant heeft vrijgegeven, is buitengewoon gedetailleerd. Het geeft aan wat voor bedrijven en organisaties sinds 2004 gehackt zijn door de hackersgroep, die onder andere opereerde onder de namen Comment Crew en Comment Group. Het geeft ook aan hoe de hackers te werk zijn gegaan en vanuit welke locaties de hackactiviteiten plaatsvonden, en geeft een schatting van de omvang van de operatie. In het rapport worden drie hackers ontmaskerd. Er worden geen bedrijfsnamen genoemd, maar volgens The New York Times zijn de hackers bijvoorbeeld verantwoordelijk geweest voor het kraken van de systemen van Coca-Cola in 2009. De nickname Shady Rat wordt in het rapport van Mandiant ook genoemd als mogelijke alias voor de Chinese hackers. Deze naam kwam in 2011 in het nieuws, toen McAfee het bericht naar buiten bracht dat China al vijf jaar lang een grote hackaanval uitvoerde.

Mandiant concludeert in het rapport dat de groep hackers, die ze aanduiden als 'APT1', kenmerken heeft van eenheid 61398 van het Volksbevrijdingsleger, de militaire arm van de Communistische Partij van China, en dat de hacks dus aangestuurd worden door de Chinese overheid.

Een woordvoerder van het ministerie van buitenlandse zaken in China verklaarde volgens de BBC dat hij betwijfelt of het bewijs na nauwkeurig onderzoek overeind blijft. Hij noemde de beschuldigingen 'verantwoordelijk noch professioneel'.

Gerelateerde content

Alle gerelateerde content (22)

Reacties (59)

Reactiefilter:-159058+139+27+30
Moderatie-faq Wijzig weergave
RIAA kom er maar in als copyright waakhond!! Brein aan de slag!!! huphup de chinezen kopieren onze data.

Ontopic: Oef dit zijn wel harde beschuldigingen, hoe ver kun je gaan zo lang het nog geen oorlogsmisdaad is of het tot oorlog leid?
Even een kort juridisch antwoord: een oorlogsmisdaad kan dit niet zijn, want die kunnen per definitie alleen maar worden gepleegd in een gewapend conflict tussen twee staten. Wat je bedoelt, is waarschijnlijk eerder een daad van agressie door een staat, welke tot een gewapend conflict zou kunnen leiden. Daarvoor is echter nog steeds meer nodig - een militaire actie zoals een bombardement, een invasie, een blokkade of schending van het grondgebied van de VS. Het is niet ondenkbaar dat bepaalde handelingen van cyberwarfare daar in de toekomst onder zouden kunnen vallen (denk aan het platleggen van het defensienetwerk of de infrastructuur van een ander land), maar zo ver is het nog niet. Bovendien moet de VS dan echt kunnen aantonen dat dit het werk is van een staatsorgaan van China (wat het Volksbevrijdingsleger wel zou zijn, maar het gaat hier om de bewijslast). In elk geval is bereikt dit soort spionage sowieso de drempel van agressie niet.

[Reactie gewijzigd door fondacio op 19 februari 2013 23:04]

Huh? Oorlogsmisdaad? Daar moet het toch eerst oorlog voor zijn?
Overigens het kopiŽren van wat bitjes lijkt me niet echt een rede voor oorlog.. 8)7
Mij wel, als de informatie maar gevoelig genoeg of potentieel erg schadelijk voor een groot gedeelte van de bevolking van een land. Stel dat alle geheime documenten van de CIA worden gestolen, inclusief de archieven. En het is direct terug te leiden naar bijvoorbeeld de pakistaanse geheime dienst. Wedden dat Amerika dan heel snel zijn vliegdekschepen daar heeft dobberen?

Informatie gelijk stellen aan 'wat bitjes' is natuurlijk enorm kinderlijk.
Als je land kernwapens heeft (en ook als het geen kernwapens heeft trouwens): zo ongeveer oneindig ver. Niemand gaat een oorlog beginnen over het stelen van informatie. Dat leidt hooguit tot handelsembargo's en soortgelijken.

Nou als er sabotage wordt gepleegd waarbij op flinke schaal slachtoffers vallen, dan wordt het een ander verhaal.
Een woordvoerder van het ministerie van buitenlandse zaken in China verklaarde volgens de BBC dat hij betwijfelt of het bewijs na nauwkeurig onderzoek overeind blijft. Hij noemde de beschuldigingen 'verantwoordelijk noch professioneel'.
ja, stel je voor, de Chinese overheid zou eens toegeven dat e.e.a. aan bevindingen klopt |:(
Tsja, De VS is zelf ook niet vies van een valse beschuldiging hier of daar. Helemaal niet als daarmee weer een gezamenlijke vijand gemaakt kan worden.
Dit is niet "de VS", maar een bedrijf uit de VS. Groot verschil. En de VS is naar verluid zelf ook niet vies van wat (industriŽle) spionage.
Tsja, De VS is zelf ook niet vies van een valse beschuldiging hier of daar. Helemaal niet als daarmee weer een gezamenlijke vijand gemaakt kan worden.
En laat nu Mandiant een puur US bedrijf te zijn, het was voor 2006 "Red Cliff Consulting LLC", ze hadden als klanten de NSA, Secret Service, FBI en de Department of Justice. De CEO, Kevin Mandia, werkte voor het Pentagon (Airforce) als Cybercrime investigator. Dus heel erg 'onafhankelijk' zou ik het bedrijf/rapport niet durven noemen als ik eerlijk ben...
Ik heb ťťn woord: "ECHELON".

De Chinezen doen niets anders, dan wat de Amerikanen, Russen, enz al jaren voor hun deden. Enkel we besteden meer aandacht hieraan.

Alsof Chinese bedrijven ook niet gehackt zullen worden, om gegevens te stelen.

Wil je als bedrijf geen last hebben van gestolen documenten. Zorg dan dat je beveiliging beter op punt staat. Te vaak vind je in bedrijven, al hun documenten in ťťn FTP ergens, waar iedereen aan kan. Ja, er staat een firewall van buiten de boel af te schermen, maar met simpele oplossingen zoals de genoemde techniek, ben je van binnen uit een mooie tunnel aan het vormen.

Bij veel bedrijven, kennen ze niet eens een fysiek afgescheiden netwerk. Wil je niet dat data naar buiten kan via het internet, zet al je documenten, en andere belangrijke troep op een apart netwerk, waar geen internet op mogelijk is via de host pc's. Wilt iemand iets opzoeken op het internet, 2de pc / tablet / laptop. Attachen van een document... transfer manueel.

Klinkt beetje omslachtig, maar het beveiligd beter dan je denkt.
Je hoeft alleen maar Stuxnet, Duqu, of Flame te zoeken om te ontdekken dat die Amerikanen geen haar beter zijn, en op het gebied van Trojans een stuk verder zijn dan die chinezen.

[Reactie gewijzigd door Deem op 19 februari 2013 16:27]

"De Chinezen doen niets anders, dan wat de Amerikanen, Russen, enz al jaren voor hun deden. Enkel we besteden meer aandacht hieraan."

Helemaal mee eens.
Alsof het Westen geen hackers e.d. in dienst heeft.... Yeah right....
Dit is moderne spionage en iedereen doet het.
met als enigste verschil dat china alles nabouwd wat ze stelen dat doen de westerse landen niet,en doen ze dat wel dan staat de overheidsinstelling/ die persoon gelijk voor de rechter!

[Reactie gewijzigd door hmmglaser op 19 februari 2013 19:59]

Er staan anders regelmatig bedrijven voor de rechter die beschuldigt worden van "nabouwen"..
Jammer genoeg minder goed beveiligt dan dat jij denkt. Uiteraard het kan helpen, maar als je bedrijf echt het doel is van een hackpoging houdt dat je echt niet tegen. Zie het stuxnet virus, gewoon verder verspreiden via USB.

Daarnaast heeft jouw oplossing ook hetzelfde probleem als wat de oplossing van Deem hierboven in mindere mate ook heeft: je moet nog wel kunnen werken. Leuk hoor fysiek gescheiden netwerk, ben je constant bestanden handmatig aan het overzetten. Daar wordt je als werknemer helemaal gek van, is slecht voor de productiviteit, en uiteindelijk gaan de werknemers gewoon om de restricties heen werken.

In dit geval bijvoorbeeld zullen werknemers al snel de restricties over wat er op het 'online' netwerk mag staan aan hun laars lappen. Dat is het hele probleem wat volgens mij nogal wat mensen op tweakers vergeten, het is heel makkelijk om een sterke beveiliging te verzinnen, maar doe het nu zodat het niet ten koste gaat van de productiviteit/werkbaarheid en niet extreem duur is. Uiteraard soms is de beveiliging belangrijk genoeg dat je de nadelen voor lief moet nemen, maar dat is lang niet altijd het geval.
We leggen de medewerkers uit waarom oa Bijlage worden geblokkeerd. Tevens liggen alle handelingen met betrekking tot bestandsuitwisseling vast in een procedure. Als medewerker verklaar je dat je de procedures kent en volgens deze procedures werkt. Werk je niet conform deze procedures gaat het niet werken, en kan dat mogelijk consequenties hebben voor je baan. tevens zijn alle USB poorten gedisabled, de kasten vergrendeld en intrusiondetection ingeschakeld. Ik kan het iedere IT beheerder aanraden.
Tenzij dit systeem op deze manier is geconfigureerd in een top-secret omgeving, zou ik als werknemer al heel snel weg zijn bij dit bedrijf. Ik wil niet werken in een omgeving waar ik als een klein kind behandeld wordt.
Dat mensen een papiertje hebben ondertekend betekend niet dat ze geen creatieve methodes zullen gebruiken om rond al die beveiligingen heen te werken.

Anyway wat voor een topgeheim research wordt er bij waar jij werkt gedaan? Want ik mag hopen dat het wel extreem belangrijk is dat het geheim blijft als je computers zo dichttimmerd. Goed voor de productiviteit zal het in iedergeval niet zijn.

En dat was ook mijn hele punt dus, iets goed dichttimmeren is simpel. Blokkeer USB poorten en trek de netwerkkabel eruit, tada je bent klaar. Maar dan kan je er ook helemaal niks meer mee. En dan vang je natuurlijk maar een fractie van de aanvallen af. Of blokkeer je ook nog downloaden van bestanden van het internet?

Elke keer dat die restricties een probleem vormen (er moet toch iets van een USB stick af, een extern iemand moet een bijlage sturen, etc), moet het zeker via ICT? Moet toegeven dat het me verbaasde dat PS/2 muizen uberhaupt nog bestaan, ik neem aan dat die dan worden gebruikt.
Ja, inderdaad! Gewoon USB poorten dicht, bestandsuitwisseling mag alleen na toestemming en binnenhalen van attachments gaat niet zonder een scan door minimaal twee veschillende systemen.
Alle, maar dan ook ALLE poorten van en naar internet DICHT zetten.
Surfen kan alleen maar via een proxy, MET scanners en alleen maar via specifieke poorten.
Systemen zo instellen dat NIEMAND hier omheen kan. Het is allemaal iets meer moeite, maar...
en hier komt de eenvoudige uitleg: Bijna iedereen die iets anders wil met internet op zijn pc, wil bij navraag alleen maar iets 'persoonlijks' doen. Voor die personen die echt kunnen uitleggen dat ze een specifieke taak moeten uitvoeren, wordt een oplossing bedacht. Die wordt ingeregeld en netjes gecontroleerd.
Ik heb jaren bij verschillende (financiele) instellingen 'gezeten' en zie dat een duidelijk en streng beleid zijn vruchten afwerpt.
Dus, inderdaad geen programma's die niet getest zijn, geen verbindingen met internet, geen bestanduitwisseling. Dan heb je een kleine kans dat je netwerk niet geraakt wordt door 'hackers'. Wanneer 1 systeem in je netwerk 'lek' is, ligt in principe je hele netwerk op straat.
Uiteraard is beveiliging een samenwerking tussen mensen en techniek. Slechts een van beide is niet voldoende!
Opmerking: Alle USB poorten dicht, hoe zit het dan met je MOUSE?, oid? :)
De instellingen waar ik vroeger systeembeheer heb mogen doen werkte exact zo. Computers gingen open en de kabels naar de USB poortjes werden eruit getrokken. Internet verbindingen liepen of via een proxy of via een intern beheerde applicatie.

Een probleem is dat kleine bedrijven zelden geintegreerde systemen aanschaffen en gebruikers zelf met bestanden in de weer laten. Vaak is er niet eens een vaste systeembeheerder. Dat is een beduidend groter risico dan wanneer gebruikers beperkt worden een beperkte set schermen in een specifieke applicatie welke dagelijks beheerd wordt door getrainde beheerders.
Lijkt mij nog niet helemaal duidelijk...

Het "bewijs" in het rapport volgt nogal veel aannames.

En zoals iedereen weer, "assumptions are the mother of all fuckups".
Lijkt mij nog niet helemaal duidelijk...
Het "bewijs" in het rapport volgt nogal veel aannames.
Noem er eens een paar die je twijfelachtig vind en die door de schrijvers als bewijs (en niet als aanwijzingen) worden opgevoerd?
Hier is een voorbeeld.

Ze doen een whois op een IP adres wat gebruikt is in een aanval en zien een /16 netblock met deze contact gegevens:
person: yanling ruan
nic-hdl: YR194-AP
e-mail: sh-ipmaster@chinaunicom.cn
address: No.900,Pudong Avenue,ShangHai,China
phone: +086-021-61201616
fax-no: +086-021-61201616
country: cn
changed: sh-ipmaster@chinaunicom.cn 20081215
mnt-by: MAINT-CNCGROUP-SH
source: APNIC
En dan concluderen ze:
The registration information for these two net blocks suggests that they serve the Pudong New Area of Shanghai, where PLA Unit 61398 is headquartered.
Waarbij ze twee dubieuze aannames maken:
  • De contactpersoon van de provider heeft kantoor in de zakenwijk van Shanghai, dus de gebruiker van het IP adres zit daar ook. Fout! Als je mijn IP adres op zoekt zie je het adres van Xs4all in A'dam, terwijl ik in Brabant woon.
  • De gebruiker zit in dezelfde wijk als de PLA Unit 61398, dus PLA Unit 61398 zal wel die klant zijn. In die wijk wonen/werken een paar miljoen mensen.
Hoe kan men er van uit gaan dat het Chinezen zijn geweest en niet dat er gewoon chinese gehackte computers zijn gebruikt? ... Ben ook zeer benieuwd hoe hard het bewijs is, maar daar hoor je nooit iets over.
Hoe je er van uit kan gaan. Welke land heeft baat bij het stelen van informatie van zo veel verschillende bedrijven. Welk land kan die informatie ook daadwerkelijk snel gebruiken en omzetten in producten.

Lijkt me dat er in Nederland weinig interesse zou zijn voor alle coca cola producten of info van andere grote bedrijven. Duitsland misschien op sommige gebieden. India zou ook een mogelijkheid kunnen zijn maar China ligt er voor de hand.

Als het om een gehackte computer zou gaan zou je als land dat niet schuldig is meteen gaan onderzoeken via logs welk land dan wel die computers misbruikt heeft = normale reactie als je beschuldigd zou worden. Na onderzoek zou dan misschien blijken dat het uit weet ik waar komt en zo schuif je de schuld door naar diegene totdat je bij de bron komt.
China neemt niet eens de moeite dat te doen omdat ze er gewoon lak aan hebben en vooral niet bang zijn voor de USA.
Een goed argument, maar een ander land wat hier baat bij heeft is natuurlijk de VS zelf. Hoe minder men China vertrouwd (in diverse opzichten) hoe meer men zaken met de VS zal blijven/gaan doen.
Waarom zouden ze actie moeten ondernemen om een vage beschuldiging te ontkrachten? ... En waarom zou het perse een land moeten zijn die geÔnteresseerd is in de buitgemaakte informatie? ... Ik kan me ook heel goed voorstellen dat de Russische mafia geÔnteresseerd is in sommige van die informatie. Of mafia uit andere landen.
Hoe kan men er van uit gaan dat het Chinezen zijn geweest en niet dat er gewoon chinese gehackte computers zijn gebruikt? ... Ben ook zeer benieuwd hoe hard het bewijs is, maar daar hoor je nooit iets over.
Nou lees het rapport eens zou ik zeggen, de details zijn verbazingwekkend en voor mij (als leek) best overtuigend. Een van de belangrijkste aanwijzingen zijn de doelwitten, die lijken vooral voor China van belang. Laten we het zo zeggen, het is vrij duidelijk dat het niet Duitsland is die de acties uitvoert.
Ik ben niet overtuigd door dit rapport.

Zo hebben ze 4 IP netblocks gevonden waar vandaan alle aanvallen zouden komen. Vervolgens doen ze een whois waar dan de contact gegevens staan van iemand van China Unicom. Dit is dus hert kantoor van iemand van de provider in Sjanghai. Maar zij concluderen:
The registration information for these two net blocks suggests that they serve the Pudong New Area of Shanghai, where
PLA Unit 61398 is headquartered.
Er staat alleen dat het netblock bedoeld is voor Sjanghai, een stad met 23 miljoen mensen, maar zij kunnen daaruit blijkbaar afleiden welk gebouw en welke klant van Unicom dat is. Knap, en ik snap niet echt hoe ze dat doen. Dus ja, het rapport lijkt overtuigend en gedetailleerd op het eerste gezicht, maar ze gaan erg kort door de bocht soms.
"Daarbij werden e-mailadressen aangemaakt die lijken op die van echte werknemers van het bedrijf. Vervolgens werden de mails, vergezeld van een besmette bijlage, naar andere werknemers gestuurd."

Tja, en daar gaat het dus fout. We blokkeren standaard alle mailbijlages en hebben een gesloten portaalsysteem met geverifieerde gebruikers voor bestandsuitwisseling. Een goed geconfigureerde spamfilter had mogelijk al voldoende bescherming geboden.
Inderdaad.
Een mailserver zou alle mail afkomstig met het eigen domein opgegeven, maar extern afkomstig meteen moeten verwijderen (met whitelisting indien geclustered).

En verificatie of het domein van de afzender bestaat.
En scannen van bijlages op virussen.
De o zo bejubelde vrijheid en openheid van het internet heeft duidelijk ook zijn schaduwzijde.
China doet precies wat het wil, criminele activiteit of niet. Wie gaat er wat tegen beginnen?
Ze hebben een enorm militair potentieel en qua productie van luxegoederen (maar ook tal van basisproducten) heeft het rijkere deel van de wereld zijn ziel verkocht door quasi alles te outsourcen naar China.
De methode om hun wil op te dringen aan de rest van de wereld is tegenovergesteld aan die van moslimextremisten. Met de glimlach wordt er hard en onderdanig voor de rijke westerling gewerkt, maar ondertussen verzamelt men know how. Daarbij is het semi gesloten karakter van China (de taal, de voor buitenlandzers ontoegankelijke beurs, het centrale bestuur, het gebrek aan democratie en persvrijheid) een ideaal middel om het voor andere landen onmogelijk te maken om voordelen te halen uit de Chinese hoogconjunctuur.

Op veel vlakken lijken ze op van het Japan na de tweede wereldoorlog. De Japanners bezochten Europan en America en fotografeerden alles wat ook maar enigszins interessant voor hen leek. Hun eerste pogingen om de opgedane kennis in producten om te zetten leverde aanvankelijk nog hoongelach uit het westen op, maar al snel werd duidelijk dat de Japanners erg gedreven waren in hun pogingen om zich te ontwikkelen en kwaliteit te produceren. The rest is history.
Ik heb niet zo extreem veel verstand van beveiligingsbedrijven/beveiligingsonderzoekers, maar wie is Mandiant. Wat is hun trackrecord? En waarom besteed tweakers en commenters hier weinig aandacht aan?
Grote Amerikaanse bedrijven wijzen wel vaker naar China.

Dit onderzoek is een beetje: wij van WC eend. Mandia lijkt 1 van de weinige experts op het eigen terrein voor grote Amerikaanse bedrijven.

Hier nog wat geschiedenis van het bedrijf.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True