Door Jelle Stuip, dinsdag 19 februari 2013 16:09, views: 21.241 •

Het Amerikaanse beveiligingsbedrijf Mandiant heeft een rapport naar buiten gebracht waaruit blijkt dat een Chinese spionage-eenheid honderden terabytes aan data van in ieder geval 141 bedrijven en organisaties heeft gestolen. Vijftien van die bedrijven zijn Europees.

De Chinese hackers verkregen meestal toegang via 'spear phishing'-e-mails. Daarbij werden e-mailadressen aangemaakt die lijken op die van echte werknemers van het bedrijf. Vervolgens werden de mails, vergezeld van een besmette bijlage, naar andere werknemers gestuurd. Met het openen van de bijlage werd vervolgens een backdoor opengezet, waarmee de hackers toegang tot het bedrijfsnetwerk konden kriPLA_Emblemjgen.

De hackers verpakten grote hoeveelheden data meestal in gesplitste en met een wachtwoord beveiligde rar-bestanden, die vervolgens naar hun ftp-servers werden gestuurd. In één geval hebben de hackers over een periode van 10 maanden maar liefst 6,5TB aan data van een bedrijf gestolen. De gestolen data omvatte gebruikersnamen, wachtwoorden en e-mails, naast bedrijfsinterne documenten over productieprocessen, documenten over productontwikkeling en beleidsplannen.

Het rapport dat Mandiant heeft vrijgegeven, is buitengewoon gedetailleerd. Het geeft aan wat voor bedrijven en organisaties sinds 2004 gehackt zijn door de hackersgroep, die onder andere opereerde onder de namen Comment Crew en Comment Group. Het geeft ook aan hoe de hackers te werk zijn gegaan en vanuit welke locaties de hackactiviteiten plaatsvonden, en geeft een schatting van de omvang van de operatie. In het rapport worden drie hackers ontmaskerd. Er worden geen bedrijfsnamen genoemd, maar volgens The New York Times zijn de hackers bijvoorbeeld verantwoordelijk geweest voor het kraken van de systemen van Coca-Cola in 2009. De nickname Shady Rat wordt in het rapport van Mandiant ook genoemd als mogelijke alias voor de Chinese hackers. Deze naam kwam in 2011 in het nieuws, toen McAfee het bericht naar buiten bracht dat China al vijf jaar lang een grote hackaanval uitvoerde.

Mandiant concludeert in het rapport dat de groep hackers, die ze aanduiden als 'APT1', kenmerken heeft van eenheid 61398 van het Volksbevrijdingsleger, de militaire arm van de Communistische Partij van China, en dat de hacks dus aangestuurd worden door de Chinese overheid.

Een woordvoerder van het ministerie van buitenlandse zaken in China verklaarde volgens de BBC dat hij betwijfelt of het bewijs na nauwkeurig onderzoek overeind blijft. Hij noemde de beschuldigingen 'verantwoordelijk noch professioneel'.

Reacties (59)

Reactiefilter:-159058+139+27+30
Platte weergaveSorteer aflopendFaq
«  1  2  »
+2 Cergorach
dinsdag 19 februari 2013 17:46
Tsja, De VS is zelf ook niet vies van een valse beschuldiging hier of daar. Helemaal niet als daarmee weer een gezamenlijke vijand gemaakt kan worden.
En laat nu Mandiant een puur US bedrijf te zijn, het was voor 2006 "Red Cliff Consulting LLC", ze hadden als klanten de NSA, Secret Service, FBI en de Department of Justice. De CEO, Kevin Mandia, werkte voor het Pentagon (Airforce) als Cybercrime investigator. Dus heel erg 'onafhankelijk' zou ik het bedrijf/rapport niet durven noemen als ik eerlijk ben...
+2 marcelvb
woensdag 20 februari 2013 00:45
Ik ben niet overtuigd door dit rapport.

Zo hebben ze 4 IP netblocks gevonden waar vandaan alle aanvallen zouden komen. Vervolgens doen ze een whois waar dan de contact gegevens staan van iemand van China Unicom. Dit is dus hert kantoor van iemand van de provider in Sjanghai. Maar zij concluderen:
The registration information for these two net blocks suggests that they serve the Pudong New Area of Shanghai, where
PLA Unit 61398 is headquartered.
Er staat alleen dat het netblock bedoeld is voor Sjanghai, een stad met 23 miljoen mensen, maar zij kunnen daaruit blijkbaar afleiden welk gebouw en welke klant van Unicom dat is. Knap, en ik snap niet echt hoe ze dat doen. Dus ja, het rapport lijkt overtuigend en gedetailleerd op het eerste gezicht, maar ze gaan erg kort door de bocht soms.
+2 SPee
woensdag 20 februari 2013 11:48
Inderdaad.
Een mailserver zou alle mail afkomstig met het eigen domein opgegeven, maar extern afkomstig meteen moeten verwijderen (met whitelisting indien geclustered).

En verificatie of het domein van de afzender bestaat.
En scannen van bijlages op virussen.
+2 Sissors
dinsdag 19 februari 2013 16:57
Dat mensen een papiertje hebben ondertekend betekend niet dat ze geen creatieve methodes zullen gebruiken om rond al die beveiligingen heen te werken.

Anyway wat voor een topgeheim research wordt er bij waar jij werkt gedaan? Want ik mag hopen dat het wel extreem belangrijk is dat het geheim blijft als je computers zo dichttimmerd. Goed voor de productiviteit zal het in iedergeval niet zijn.

En dat was ook mijn hele punt dus, iets goed dichttimmeren is simpel. Blokkeer USB poorten en trek de netwerkkabel eruit, tada je bent klaar. Maar dan kan je er ook helemaal niks meer mee. En dan vang je natuurlijk maar een fractie van de aanvallen af. Of blokkeer je ook nog downloaden van bestanden van het internet?

Elke keer dat die restricties een probleem vormen (er moet toch iets van een USB stick af, een extern iemand moet een bijlage sturen, etc), moet het zeker via ICT? Moet toegeven dat het me verbaasde dat PS/2 muizen uberhaupt nog bestaan, ik neem aan dat die dan worden gebruikt.
+2 marcelvb
woensdag 20 februari 2013 00:57
Hier is een voorbeeld.

Ze doen een whois op een IP adres wat gebruikt is in een aanval en zien een /16 netblock met deze contact gegevens:
person: yanling ruan
nic-hdl: YR194-AP
e-mail: sh-ipmaster@chinaunicom.cn
address: No.900,Pudong Avenue,ShangHai,China
phone: +086-021-61201616
fax-no: +086-021-61201616
country: cn
changed: sh-ipmaster@chinaunicom.cn 20081215
mnt-by: MAINT-CNCGROUP-SH
source: APNIC
En dan concluderen ze:
The registration information for these two net blocks suggests that they serve the Pudong New Area of Shanghai, where PLA Unit 61398 is headquartered.
Waarbij ze twee dubieuze aannames maken:
  • De contactpersoon van de provider heeft kantoor in de zakenwijk van Shanghai, dus de gebruiker van het IP adres zit daar ook. Fout! Als je mijn IP adres op zoekt zie je het adres van Xs4all in A'dam, terwijl ik in Brabant woon.
  • De gebruiker zit in dezelfde wijk als de PLA Unit 61398, dus PLA Unit 61398 zal wel die klant zijn. In die wijk wonen/werken een paar miljoen mensen.
+2 exorbitex
dinsdag 19 februari 2013 17:17
Ik heb niet zo extreem veel verstand van beveiligingsbedrijven/beveiligingsonderzoekers, maar wie is Mandiant. Wat is hun trackrecord? En waarom besteed tweakers en commenters hier weinig aandacht aan?
Grote Amerikaanse bedrijven wijzen wel vaker naar China.

Dit onderzoek is een beetje: wij van WC eend. Mandia lijkt 1 van de weinige experts op het eigen terrein voor grote Amerikaanse bedrijven.

Hier nog wat geschiedenis van het bedrijf.

Op dit item kan niet meer gereageerd worden.

«  1  2  »

Onderwerpen

Gerelateerde content

Alle gerelateerde content (14)

© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies

Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True

Website van het jaar 2012