Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 59, views: 21.524 •

Het Amerikaanse beveiligingsbedrijf Mandiant heeft een rapport naar buiten gebracht waaruit blijkt dat een Chinese spionage-eenheid honderden terabytes aan data van in ieder geval 141 bedrijven en organisaties heeft gestolen. Vijftien van die bedrijven zijn Europees.

De Chinese hackers verkregen meestal toegang via 'spear phishing'-e-mails. Daarbij werden e-mailadressen aangemaakt die lijken op die van echte werknemers van het bedrijf. Vervolgens werden de mails, vergezeld van een besmette bijlage, naar andere werknemers gestuurd. Met het openen van de bijlage werd vervolgens een backdoor opengezet, waarmee de hackers toegang tot het bedrijfsnetwerk konden kriPLA_Emblemjgen.

De hackers verpakten grote hoeveelheden data meestal in gesplitste en met een wachtwoord beveiligde rar-bestanden, die vervolgens naar hun ftp-servers werden gestuurd. In één geval hebben de hackers over een periode van 10 maanden maar liefst 6,5TB aan data van een bedrijf gestolen. De gestolen data omvatte gebruikersnamen, wachtwoorden en e-mails, naast bedrijfsinterne documenten over productieprocessen, documenten over productontwikkeling en beleidsplannen.

Het rapport dat Mandiant heeft vrijgegeven, is buitengewoon gedetailleerd. Het geeft aan wat voor bedrijven en organisaties sinds 2004 gehackt zijn door de hackersgroep, die onder andere opereerde onder de namen Comment Crew en Comment Group. Het geeft ook aan hoe de hackers te werk zijn gegaan en vanuit welke locaties de hackactiviteiten plaatsvonden, en geeft een schatting van de omvang van de operatie. In het rapport worden drie hackers ontmaskerd. Er worden geen bedrijfsnamen genoemd, maar volgens The New York Times zijn de hackers bijvoorbeeld verantwoordelijk geweest voor het kraken van de systemen van Coca-Cola in 2009. De nickname Shady Rat wordt in het rapport van Mandiant ook genoemd als mogelijke alias voor de Chinese hackers. Deze naam kwam in 2011 in het nieuws, toen McAfee het bericht naar buiten bracht dat China al vijf jaar lang een grote hackaanval uitvoerde.

Mandiant concludeert in het rapport dat de groep hackers, die ze aanduiden als 'APT1', kenmerken heeft van eenheid 61398 van het Volksbevrijdingsleger, de militaire arm van de Communistische Partij van China, en dat de hacks dus aangestuurd worden door de Chinese overheid.

Een woordvoerder van het ministerie van buitenlandse zaken in China verklaarde volgens de BBC dat hij betwijfelt of het bewijs na nauwkeurig onderzoek overeind blijft. Hij noemde de beschuldigingen 'verantwoordelijk noch professioneel'.

Reacties (59)

Hier een voorbeeld van hoe dat in zijn werk gaat: http://www.metafilter.com/80400/GhostNet#2505433
Off-Topic:

Geen idee waarom maar ik moest gelijk aan C&C Generals China General denken toen ik dit las.

People's Liberation Army Unit Hacker:

Hacker
The Hacker: the information specialist of China. Hackers can hack into structure's computer systems and disable the structure for a period of time. They can also hack online bank accounts to receive a steady, though somewhat small, supply of cash.

Cost: $625
Strengths: Buildings
Weaknesses: Infantry, vehicles
Upgrades: None

http://www.cncgeneralswor...factions/china/units.aspx
/Off-Topic

[Reactie gewijzigd door DTHUGGA op 20 februari 2013 10:05]

6,5TB....zullen vast geen tekst bestanden zijn geweest....
Vijftien van die bedrijven zijn Europees.
In Europa gevestigd en daar fysiek gehackt of zijn het EU moeder bedrijven die mogelijk elders zijn gevestigd?
Als 'slechts' 15 van de 141(!) bedrijven Europees zijn dan lijkt het primaire doelwit dus niet die Europese bedrijven. Straks het bron artikel ffe erbij pakken en kijken of daar in staat wat wel het primaire doel was, of dat 'wij' (Europa) relatief goed beviligd zijn en de rest daardoor mogelijk de sjaak is. (verhoudingsgewijs dan he?!) Bedenk mij net dat als er gebruik gemaakt wordt van spearphising het dus wel redelijk gericht moet zijn geweest. (met @naamvanjouwbedrijf.nl adressen enzo)

[Reactie gewijzigd door Elmo_nl op 19 februari 2013 21:33]

De o zo bejubelde vrijheid en openheid van het internet heeft duidelijk ook zijn schaduwzijde.
China doet precies wat het wil, criminele activiteit of niet. Wie gaat er wat tegen beginnen?
Ze hebben een enorm militair potentieel en qua productie van luxegoederen (maar ook tal van basisproducten) heeft het rijkere deel van de wereld zijn ziel verkocht door quasi alles te outsourcen naar China.
De methode om hun wil op te dringen aan de rest van de wereld is tegenovergesteld aan die van moslimextremisten. Met de glimlach wordt er hard en onderdanig voor de rijke westerling gewerkt, maar ondertussen verzamelt men know how. Daarbij is het semi gesloten karakter van China (de taal, de voor buitenlandzers ontoegankelijke beurs, het centrale bestuur, het gebrek aan democratie en persvrijheid) een ideaal middel om het voor andere landen onmogelijk te maken om voordelen te halen uit de Chinese hoogconjunctuur.

Op veel vlakken lijken ze op van het Japan na de tweede wereldoorlog. De Japanners bezochten Europan en America en fotografeerden alles wat ook maar enigszins interessant voor hen leek. Hun eerste pogingen om de opgedane kennis in producten om te zetten leverde aanvankelijk nog hoongelach uit het westen op, maar al snel werd duidelijk dat de Japanners erg gedreven waren in hun pogingen om zich te ontwikkelen en kwaliteit te produceren. The rest is history.
doet me denken aan de tekenfilm serie van spongebob
china is net plankton die probeert het geheime recept te stelen en zo ook klanten te kijken (het hacken van coco cola ect)

dit is ook best dom: pagina 29 van rapport:
"On some occasions, unsuspecting email
recipients have replied to the spear
phishing messages, believing they were
communicating with their acquaintances.
In one case a person replied, “I’m not sure
if this is legit, so I didn’t open it.” Within 20
minutes, someone in APT1 responded with
a terse email back: “It’s legit.” "

[Reactie gewijzigd door rayhvh op 19 februari 2013 20:39]

Voor ons als klanten wel handig.
Goedkopere producten tegen betere kwaliteit.

OF:

Wel sneller gemaakt, net zo duur, dus meer geld naar china 'om niet'...

Tja, wie internet ziet als meer dan een tool, wie lemen voeten onder een land en diens bedrijven zet, digitale zwaktes, die vraagt er eigenlijk wel een beetje om.
Ik daag jullie uit om alle vermelde IP's te bezoeken , pingen , etc.. ^^
Ik heb niet zo extreem veel verstand van beveiligingsbedrijven/beveiligingsonderzoekers, maar wie is Mandiant. Wat is hun trackrecord? En waarom besteed tweakers en commenters hier weinig aandacht aan?
Grote Amerikaanse bedrijven wijzen wel vaker naar China.

Dit onderzoek is een beetje: wij van WC eend. Mandia lijkt 1 van de weinige experts op het eigen terrein voor grote Amerikaanse bedrijven.

Hier nog wat geschiedenis van het bedrijf.
Lijkt mij nog niet helemaal duidelijk...

Het "bewijs" in het rapport volgt nogal veel aannames.

En zoals iedereen weer, "assumptions are the mother of all fuckups".
Lijkt mij nog niet helemaal duidelijk...
Het "bewijs" in het rapport volgt nogal veel aannames.
Noem er eens een paar die je twijfelachtig vind en die door de schrijvers als bewijs (en niet als aanwijzingen) worden opgevoerd?
Hier is een voorbeeld.

Ze doen een whois op een IP adres wat gebruikt is in een aanval en zien een /16 netblock met deze contact gegevens:
person: yanling ruan
nic-hdl: YR194-AP
e-mail: sh-ipmaster@chinaunicom.cn
address: No.900,Pudong Avenue,ShangHai,China
phone: +086-021-61201616
fax-no: +086-021-61201616
country: cn
changed: sh-ipmaster@chinaunicom.cn 20081215
mnt-by: MAINT-CNCGROUP-SH
source: APNIC
En dan concluderen ze:
The registration information for these two net blocks suggests that they serve the Pudong New Area of Shanghai, where PLA Unit 61398 is headquartered.
Waarbij ze twee dubieuze aannames maken:
  • De contactpersoon van de provider heeft kantoor in de zakenwijk van Shanghai, dus de gebruiker van het IP adres zit daar ook. Fout! Als je mijn IP adres op zoekt zie je het adres van Xs4all in A'dam, terwijl ik in Brabant woon.
  • De gebruiker zit in dezelfde wijk als de PLA Unit 61398, dus PLA Unit 61398 zal wel die klant zijn. In die wijk wonen/werken een paar miljoen mensen.

Op dit item kan niet meer gereageerd worden.