Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties

Chinese hackers hebben onder andere het Nederlands-Duitse defensiebedrijf Rheinmetall Defence gehackt. Fox-IT ontdekte de malware hiervoor eind 2015, waarbij het eerst leek alsof deze alleen in Myanmar voorkwam. Later bleken ook bedrijven in Duitsland, Canada en de VS te zijn gehackt.

Dat Rheinmetall Defence uit Ede is gehackt, wordt niet bevestigd door het bedrijf zelf of Fox-IT, maar 'bronnen in de inlichtingenwereld' hebben dat wel aan de Volkskrant bevestigd. Het defensiebedrijf werd al in 2012 gehackt. Het doel van de hack was het stelen van bedrijfsgeheimen.

Het bestaan van de malware werd ontdekt door Fox-IT-onderzoeker Yonathan Klijnsma, die daar in het najaar van 2015 op stuitte. Het bleek dat de malware zich bij bedrijven en overheden van verschillende landen bevond. Na maanden onderzoek kon Klijnsma de herkomst van de malware achterhalen. Hij wist dit volgens de Volkskrant te doen dankzij de 'taalinstellingen, gekozen doelwitten en de werkwijze'. In de ruim drie jaar dat de hackersgroep uit China actief was, wist die ten minste 24 instanties te infecteren met de malware. Ook is de malware nog steeds actief.

De hack bij Rheinmetall Defence kon plaatsvinden via e-mails. Vanaf een vals e-mailadres werden Engelstalige nieuwsberichten over de samenwerking tussen de Nederlandse en Duitse tak gestuurd aan de werknemers van Rheinmetall. De e-mail bevatte een bijlage met een link naar een site met malware met de naam ShimRatReporter.

ShimRatReporter vergaart informatie over bedrijfsnetwerken met onder andere informatie over het lokale domein, serverinstellingen en geïnstalleerde software, schrijft de krant in een tweede artikel. Dan zijn er twee opties: of de malware wordt gedownload via een nieuwe e-mail met bijlage en geeft direct toegang tot de computer of ShimRat stuurt een rapport met informatie over het bedrijfsnetwerk om vervolgens weer te verdwijnen.

ShimRat wist antivirusprogramma's voor de gek te houden en het was voor Klijnsma ook niet makkelijk om te achterhalen dat het om een Chinees programma ging. Dat laatste was lastig omdat het programma volledig in het Engels geschreven is, op twee Chinese woorden uit een vroege versie na.

Er zijn regelmatig berichten dat Chinese groeperingen zich met hacks op Europese technologiebedrijven richten om kennis te stelen. De AIVD waarschuwt hier al jaren voor. Klijnsma presenteert details over de hack en de malware woensdag op een congres in Zuid-Korea.

Moderatie-faq Wijzig weergave

Reacties (34)

Het ligt ongetwijfeld een stuk complexer, maar een gespecialiseerd bedrijf in defensie technologie waarbij medewerkers dan nog steeds naïef genoeg zijn om op externe links te klikken. Misschien nog maar een keer naar een bepaalde overheidsreclame kijken? 8-)
Het ligt ongetwijfeld een stuk complexer, maar een gespecialiseerd bedrijf in defensie technologie waarbij medewerkers dan nog steeds naïef genoeg zijn om op externe links te klikken. Misschien nog maar een keer naar een bepaalde overheidsreclame kijken? 8-)
Zolang je zo blijft denken zal het fout gaan. Deze denkwijze is deel van het probleem.
1. Één foutje is genoeg, je kan het een miljoen keer goed doen, maar één keer niet goed opletten is genoeg. Iedereen maakt fouten, in een groot bedrijf zal het dagelijks gebeuren, hoeveel je ook traint.
2. Het gaat hier waarschijnlijk om een gerichte campagne. Aanvallers houden niet op na een mislukte poging maar ze verzamelen steeds meer informatie over hun doel zodat ze steeds slimmere aanvallen kunnen doen waardoor mensen niet op hun hoeden zijn.
3. Het kan best moeilijk zijn om een legitieme mail van een goede fish te onderscheiden en een "echt" domein van een goed "vals" domein onderscheiden lukt niet zonder IT-opleiding. Er zijn veel te veel manieren om het moeilijk te maken waar geen handige vuistregel voor is maar je echt inzicht nodig hebt.

Je kan niet verwachten dat mensen nooit fouten maken en niet voor de gek gehouden worden door doelgerichte bedriegers. Je moet er dus rekening mee houden dat het af en toe verkeerd gaat. Door slim gebruik te maken van techniek kun je een hoop problemen onmogelijk maken, dat is beter dan vertrouwen op foutloze mensen.
De blogpost van Yonathan hierover: https://blog.fox-it.com/2...ation-stealing-adversary/. Daar staat ook de whitepaper. Inderdaad beruste de modus operandi van deze groep volledige op social engineering om binnen te komen.
Waarom bestaan de termen Intra- en Extra net ?
gewoon 2 fysiek separate netwerken en ook 2 computers per medewerker.
Op het intranet alleen op de zaak achter de intranet terminal.
Dat zou al een aardige "firewall/chineese muur" zijn. _/-\o_
Maar op de een of andere manier willen mensen toch kunnen mailen naar hun klanten...
daarom staat er toch die 2e computer op het bureau.
Tja, bij een groot bedrijf heb je allicht een no-no die het niet zo nauw neemt.

Ik vind het eerder bijzonder dat er geen 'Weet je zeker dat je dit programma, wat vandaag gedowload is via de mail, wil draaien?' pop-up verschijnt, dan wel dat mensen daar óók doorheen klikken.

Overigens wel makkelijk om een paar Chinese woorden te 'planten'. Ik neem aan dat er meer bewijs is voor de China-conclusie.
Ik denk dat het boze programma gebruikt maakt van een fout in Windows om dit te omzeilen, want anders zou je inderdaad altijd zo'n waarschuwing moeten krijgen. Dat soort fouten zijn het probleem vaak, zitten in alle programma's en systemen, helaas.
Jammer dat dit telkens weer gebeurt. Je zou toch mogen verwachten dat dergelijke bedrijven aan strenge (netwerk)beveiligingseisen moeten voldoen + dat ze regelmatig gecontroleerd worden. Wanneer defensiebedrijven weten dat ze regelmatig een "white hat" malware-aanval kunnen verwachten, dan zijn ze wellicht niet zo laks met simpele dingen als bijlages openen in e-mails.
Ook binnen dit soort bedrijven worden PR-meldingen intern uitgestuurd. Als je zulke interne communicatie kan faken, dan heb je snel iemand te pakken die niet zit op te letten. Volgens mij is het nieuwsbericht trouwens niet helemaal correct en ging het niet om een bijlage maar om een normale link in de e-mailbody.

Een berichtje van "iemand van accounting" of "iemand van marketing" in een groot bedrijf met de vraag of je naar een bepaalde URL wil surfen om daar iets te doen is niet echt verdacht, dat komt immers vaker voor. Dan hoeft er maar iemand op te klkken en huppakee, via een browserexploit heb je als hacker de eerste stap al gezet.

Het is vrijwel onmogelijk om de menselijke factor hierbij uit te schakelen, vooral als die gecombineerd wordt met technische kwetsbaarheden van browsers, plugins, PDF readers, Word, en andere programma's die zo'n beetje elke medewerker binnen zo'n bedrijf wel gebruikt.

Ben je eenmaal binnen, dan kan je als hacker rustig aan je gangetje gaan en stap voor stap verder doordringen in de systemen - als je maar genoeg tijd (en geld) hebt, lijkt me dat je vrijwel overal wel binnenkomt. De enige vraag is of/wanneer je ontdekt wordt. Zie ook de Pentagon-hack(s), en zo'n beetje hacks bij elk middelgroot tot groot defensie/technologie-bedrijf (in NL bijvoorbeeld ook ASML). Of het nou om militaire of bedrijfsspionage gaat maakt hier weinig uit.
Ik heb het gevoel dat Tweakers vergeten dat er in een bedrijf/organisatie ook technisch minder onderlegde mensen werken. Denk aan PA's, marketing, pers, logistiek personeel etc. En mochten die wel opletten, dan nog komt er altijd een moment waarbij mensen worden overspoelt met werk en snel alle mailtjes openen en dom klikken op alles wat maar enigszins van belang lijkt.
Daarnaast zijn er nog 1001 andere manieren waar de Chinezen gebruik van maken om een bedrijf binnen te komen.
Klopt helemaal. Er is altijd wel iemand te vinden binnen een bedrijf die op een linkje klikt of een attachment opent.
Verplicht een WhiteHat pen test per jaar voor overheids instanties en daaraan gerelateerde bedrijven.

Ik ben voor!

Falen is een actie plan implementeren en na 3 maanden een nieuwe audit op dezelfde vulnerabilities. Falen ze weer: op scherp stellen en contracten evt. opschorten.

[Reactie gewijzigd door Ducksy88 op 15 juni 2016 09:55]

Dat zou kunnen ja, maar dan niet gepland uiteraard maar op willekeurige momenten.
Gewoon dat iemand van de staf een mailtje stuurt met ''slechte bedoelingen'' en vervolgens zien wie er allemaal op klikt. Door het niet te plannen kan het personeel het ieder moment van de dag verwachten (dat is niet slecht, maar juist goed want men zal beter opletten en navraag doen alvorens iets te openen).
Mja goed hoeveel e-mails per dag krijgen ze die wel goed zijn? Men moet natuurlijk niet bang worden om hun werk uit te voeren, en bij elk mailtje navraag gaan doen of er niet toevallig een hacker achter zit.
Daar heb je meestal niet veel aan als je er achteraf achterkomt. Goed, je kunt de schade dan beperken maar grote kans dat je geheimen dan allang zijn verdwenen richting China of Rusland.

Je moet het gewoon fysiek onmogelijk maken om binnen te komen, desnoods helemaal van het internet af.

[Reactie gewijzigd door ArtGod op 15 juni 2016 12:19]

Er zijn regelmatig berichten dat Chinese groeperingen zich met hacks op Europese technologiebedrijven richten om kennis te stelen. De AIVD waarschuwt hier al jaren voor. Klijnsma presenteert details over de hack en de malware woensdag op een congres in Zuid-Korea.
Alle landen hacken elkaar om bedrijfsgeheimen te vinden, zowel vriend als vijand, en niet alleen sinds dat er computers zijn.
De berichten aan "onze kant" gaan inderdaad vaak over China (of die andere "Bad Guy" Rusland) maar landen als de VS, VK en zelfs NL doen daar net zo hard aan.
Alle landen hacken elkaar om bedrijfsgeheimen te vinden, zowel vriend als vijand, en niet alleen sinds dat er computers zijn.
Ben toch wel benieuwd naar je onderbouwing. China (en Rusland) hackt natuurlijk om technologie in handen te krijgen, wat voor ons (westerlingen) minder interessant is, omdat wij voorop lopen.
Staatsgeheimen kan ik wel inkomen, technologie minder.
[...]
...wat voor ons (westerlingen) minder interessant is, omdat wij voorop lopen.
En wat is je bron om te zeggen dat 'wij' voorop lopen? Ik weet niet of je ooit in de 'niet westerse' wereld geweest ben, maar veel is daar moderner dan bij ons 'westerlingen'. Onlangs zelf nog weer met verbazing en eigen ogen gezien hoeveel verder bijvoorbeeld China is ten opzichte van hetgeen 'wij westerlingen' vaak denken.

In China staan de ontwikkelingen alles behalve stil. Men doet daar ook aan ontwikkeling en niet zo'n klein beetje ook, veelal enorm gesponsord door de overheid als het om bedrijven gaat. Ja westerse landen zullen op bepaalde vlakken zeker nog voorop lopen, maar op andere gebieden is een land als China koploper.

Verder heb ik onlangs nog een documentaire gezien over de NSA en wat er onder de noemer van 'nationale veiligheid' allemaal wordt gedaan, verzameld en gehackt. Dat liegt er niet om. Daarbij gaat het zeker voor een groot deel niet om het verkrijgen van bedrijfsgeheimen/ technologie, maar de big black box die NSA heet wordt inmiddels overal voor ingezet.
Van welke Chinese (Russissche etc) ontwikkelingen was je onder de indruk, als ik vragen mag?

Ik vind het juist tegenvallen. Je zou denken dat China, met alle technische en praktische kennis en ervaring die ze moeten hebben opgedaan met decennia van het produceren van ongeveer alles wat hier in de winkel ligt, tot en met smart phones, wel de stap zou maken naar zélf nieuwe technologische stappen maken.

Maar in plaats daarvan importeren ze kennis. Schonere, efficientere kolencentrales worden door o.a. Nederlandse bedrijven ontwikkeld, terwijl China zelf tig van die dingen bouwt en Nederland maar een paar.

Rusland, India, Brazilië.. zou je onderhand na decennia van relatieve voorspoed toch ook productontwikkeling van verwachten, maar het enige wat ik daar van merk als consument is een goedkope Russsische bovenfrees, qua ontwikkeling een halve eeuw oud, die hier te koop is. Met alleen een Russische handleiding ;(
Ik geloof dat het de jaren 80 was waar alles wat goedkope rommel was het label 'Made in Taiwan' had. Ook toen werd er nogal lacherig en neerbuigend over gedaan. Inmiddels zit Taiwan vol met high-tech industrie.

De Chinese regering probeert niet elke sector over te nemen. Om de zoveel tijd stellen ze een doel. Bijvoorbeeld om kampioen te worden in zonnepanelen. Daar worden dan miljarden in gepompt en de inlichtingen diensten werken mee om het mogelijk te maken. Kolencentrales is vanzelfsprekend geen doel voor ze. Dat kunnen ze nog wel even aan ons laten.

Rusland en Brazilie moeten eerst afrekenen met andere problemen, India daarentegen heeft gewoon een heel goede basis om stappen te maken. In vele research papers zie je trouwens Indiase namen opduiken.

Dat jij het niet ziet wil niet zeggen dat er geen ontwikkeling gaande is. De jeugd uit China/India doet nu zijn opleiding in het buitenland en wordt geocached/klaar gestoomd in het thuisland door een westerling. Het komt echt wel.
Ook zou ik er niet op rekenen dat R&D hier zomaar blijft. Chinese/Indiase bedrijven zullen op een gegeven moment te maken krijgen met politieke en/of militaire druk om R&D naar huis te halen. Met of zonder de Westerling.
Dat klinkt allemaal heel logisch, maar die verhalen hoor ik al heel mijn leven. Taiwan is inderdaad stukken vooruit gegaan. Japan is ook ooit begonnen met 'namaak' en die zijn nu op allerlei gebied koploper. Naar mijn bescheiden mening zijn Japanse auto's en motorfietsen meer waar voor je geld en betrouwbaarder dan andere en als ik me goed herinner denken zelfs de Duitse ADAC-leden daar grotendeels zo over. Maar China en Rusland, India, Brazilië.. Ik zou niet één product kunnen noemen wat ik in huis heb, wat daar ontwikkeld is, of merk wat daar vandaan komt.

Neem nou die zonnepanelen. Het moet toch wel heel raar lopen, willen ze die in China niet goedkoper kunnen maken dan in 'het Westen'? Milieuwetgeving bestaat zo ongeveer niet, arbeid, energie en grondstoffen zijn nergens goedkoper en ze de technologie is er al, want allerlei bedrijven laten daar hun grondstoffen maken.

Dat de beste studenten in het buitenland mogen studeren, dat gebeurt ook al tientallen jaren. Zelfs die junior dictator van Noord-Korea heeft aan een dure westerse universiteit gestudeerd, net zoals de dochter van Putin in Nederland studeert.. :X maar wat merken we daarvan qua technologische / productontwikkeling?
Wat China betreft hoeven die niet voorop te lopen. Spionage heeft als doel de technologie in bezit te krijgen. Die studenten kunnen wel met bestaande technologie overweg. Uitvinden hoef niet ( al gebeurd dat heus, China doet geloof ik al meer patent aanvragen dan de VS).
China zoekt naar dominantie op markten. Dat helpt politiek, economisch en militair. Je ziet dat ze die dominantie langzaam succesvol uitbreiden.
Vreemd genoeg merken velen het niet op. 5-8 jaar terug werd deze discussie ook over Huawei en Lenovo hier gevoerd. Weinigen wilden geloven dat Huawei een top 3 speler of zelfs nr 1 zou gaan worden. Gaven beetje dezelfde argumenten als jij. Die onderschatting nekt ons Europeanen al veel te lang. Eigenlijk ongelooflijk dat de politiek nog altijd door blijft slapen.
Ik vind niet dat ik China onderschat. Ik ben alleen oprecht benieuwd op welk vlak(ken) China in technologisch opzicht het voortouw genomen heeft intussen. Misschien is dat wel zo, maar ik zou geen voorbeeld kunnen noemen.

Spionage is maar een deel van het verhaal. Consumentengoederen zijn vaak vrij makkelijk te reverse-engineeren (is hier een mooier, Nederlands woord voor?) en hightech militair spul, tja, dat je van één project de bestanden in handen krijgt wil nog niet zeggen dat je meteen de JSF kan nabouwen in je Chinese fabriek.

Wat betreft de politiek die blijft slapen: De macht van de overheid wordt IMHO zwaar overschat. De eeuwige politieke verdeeldheid verhinderd vaak zelfs de meest voor de hand liggende, logische beslissingen. Kijk maar naar de VS, hoeveel tijd en moeite het kostte om een zelfs maar een minimaal systeem van basisverzekering er door te krijgen, of hoe lang het duurde voor gelijke rechten voor homo's eens een keer erkent was. Hier is het feitelijk niet veel anders.
Mwa.... ik ben net als breakers maar gedeeltelijk onder de indruk.
Ja, het gaat altijd groot en soms razendsnel. De top is echt goed. .... maar net eronder, ben je opeens in een ontwikkelingsland met niet het geringste respect voor IP, en echt nauwelijks benul van ontwikkelingskosten. Ik kom er elk jaar wel eens (vaker als ik pech heb) en zie nog steeds erg veel van dat soort tegenstellingen. Het is verbazingwekkend hoe weinig faciliteiten ook kennelijk leidende universiteiten en onder nemingen hebben. Goed ik zit in de windenergie en niet in defensie, maar ben altijd weer verbaasd.
Maar waarom praat je in de termen als zij en wij?

Defensiebedrijven hier leveren niet aan consument en onder zeer strikte voorwaarden aan andere bedrijven.
In Europa kun je zelfs stellen dat praktisch al dit soort bedrijven exclusief voor overheden werkt.

In Rusland en China verschilt het niet veel.

Of je moet echt in de veronderstelling zijn dat alle technieken van de JSF alleen bekend is bij de bedrijven en niet slinks via de overheid naar andere organisaties vloeit.

Het is echt minder zwart-wit dan de media je wilt laten geloven.
Maar cloud is toch dé oplossing? [/sarcasm] Ik denk dat het over het algemeen een kwestie is van wat niet weet wat niet deert. Veel bedrijven hebben totaal geen besef over hoe veilig hun data wel of niet is. Zo worden bedrijfsdocumenten via email verstuurd, dit kan goed gaan als iedereen op dezelfde server zit maar figuren als onze minister plasterk vinden dat niet handig dus die doen het verkeer maar via hun eigen gmail account.
Op deze manier ga je al snel data over internet sturen die je er helemaal niet overheen wilt hebben. Als je dan vervolgens ook nog eens geen encryptie gebruikt wordt het al snel makkelijk om zwakheden in de eventuele bestaande beveiliging te vinden en zijn hackers binnen no-time binnen. (het bedrijfsuitje wat geregeld wordt via mail waar de namen van alle werknemers in staan bijvoorbeeld kan makkelijk misbruikt worden voor social engineering).

Maar ja dan kom je terug bij de eeuwenoude strijd tussen de experts en het management: beveiliging en protocollen naleven en implementeren levert niet altijd directe winst op voor een bedrijf wat het niet als core business heeft dus vinden managers het vaak overbodige luxe. Tenminste, totdat het misgaat maar ja dan ben je alles al kwijt.
Nee natuurlijk niet, dat lijkt mij logisch. De Amerikanen hacken de Chinezen net zo vaak als zij de Amerikanen. Maar sinds het Westen technologisch voorop loopt valt hier meer te halen dan omgekeerd. Tegen de tijd dat de Chinezen technologisch voorop lopen is het ook waarschijnlijk ook technisch onmogelijk geworden om nog een computer te hacken.

Zie hier bijvoorbeeld een recent artikel.

Ik loop al jaren te roepen dat C compilers standaard boundschecking moeten inbouwen en standaard AAN hebben staan. Dan los je al een hele grote groep problemen op. Zucht...niemand luistert naar mij en wij moeten daar als Westen de prijs voor betalen.

[Reactie gewijzigd door ArtGod op 15 juni 2016 12:27]

Je kan toch zien voordat je op de link klikt waar die link heen gaat, watvoor site dat is..?
Dan kan je nog denken ik vertrouw dit niet...
Nu is er iemand die gewoon domweg op de link klikt en dan DAG gegevens...
Het blijft mensen werk, je zou zeggen dat men bij dit soort bedrijven extra alert is op linkjes in mailtjes, maar nee dus
Tevens zegt het ookiets over de ict beveiliging van dit bedrijf, niemand die iets in de gaten had, jaren lang niet

[Reactie gewijzigd door vinkjb op 15 juni 2016 10:03]

Waar gaat bit.ly/123sdaasd heen?
Waar gaat tweaker.net heen ?
Waar gaat www.mijnbedrelf.nl heen?
Waar gaat www.ing.nl@abc.cn heen?
Waar gaat wwwgoogle.com heen?
Is www.bedrijf.com hetzelfde als www.bedrijf.net en www.bedrijf.co en bedrijf.co.uk ?

Er zijn zoveel manieren om domeinen te maken die echt lijken maar het niet zijn dat het niet meer leuk is. Een ervaren tweaker zal de meeste eenvoudige truckjes wel kennen maar er zijn er zo veel meer. Simpele spelfouten zijn vaak al genoeg, daar lees je over heen als je er niet super alert op. Iedereen heeft wel eens een slechte dag en dan is 1 seconde niet opletten genoeg.
Ik moet eerlijk zeggen dat ik ook niet elke keer boven een link hoover om te zien waar de link heen gaat. Zeker niet als ik weer het zoveelste geautomatiseerde mailtje krijg, dat afkomstig lijkt uit ons bedrijf.
Caplock2000 geeft al een aantal voorbeelden. Nog een:
https://tweakers.net/nieuws/112529/aantal-overwatch-spelers-groeit-naar-tien-miljoen.html
Jouw link is een goed voorbeeld inderdaad.
Wanneer je naar de link kijkt denk je dat je naar een overwatch artikel gaat terwijl dat helemaal niet zo is (en BAM ik ben erin getrapt want ik heb erop geklikt, het is dat ik jou vertrouwde, maar je had er net zo goed iets anders van kunnen maken).
Foutje zit in een klein hoekje, daarbij ben ik benieuwd hoeveel tweakers op jouw link geklikt hebben, die hadden nu stuk voor stuk (incl ikzelf) besmet kunnen zijn.
Na het FoxIT threatreport over de mofang groep gelezen te hebben is me opgevallen dat zij erg bekende dns namen gebruiken in de urls waar je zo overheen leest. Onderandere windows update url's met 1 letter afwijkend of een koppelteken etc. word,excel en pdf bestanden hebben hun voorkeur schijnt.
De waarschuwingen van de AIVD zijn zinloos. Er zijn altijd wel sukkels binnen het bedrijf die (hetzij tegen betaling) op een linkje klikken of een attachment openen.

Bedrijven die belangrijke technische informatie bevatten moeten gewoon van het internet af gehaald worden en alleen nog maar via een RDP connectie met een VM communiceren met het internet.
:)

Chinezen zijn de beste in bleekscheten laten

[Reactie gewijzigd door Plux op 15 juni 2016 22:00]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True