De Chinese beveiligingsfirma 360 Security Technology ( 360 Qihoo) vond ernstige aanwijzingen van cyberaanvallen door de Amerikaanse CIA op een aantal Chinese instellingen. Die aanvallen zijn al meer dan tien jaar aan de gang. Mogelijk is daarbij een aanzienlijke hoeveelheid geheime informatie gestolen.
Een hackersorganisatie die banden heeft met de US Central Intelligence Agency (CIA) voert al meer dan tien jaar aanvallen uit op Chinese bedrijven uit de lucht- en ruimtevaartsector, op wetenschappelijke onderzoeksinstellingen, internetbedrijven, bedrijven uit de oliesector en regeringsinstellingen. Dat heeft de beveiligingsfirma 360 Security Technology (360 Qihoo) dinsdag in een verklaring bekend gemaakt. 360 Qihoo is een belangrijk bedrijf voor cyberbeveiliging dat een goede reputatie heeft voor zijn inzichten in de Chinese digitale veiligheid.
Volgens Chinese experts is het de eerste keer dat gedetailleerde bewijzen opduiken van Amerikaanse cyberaanvallen tegen China. Ze vrezen dat de hackers met grote hoeveelheden geheime informatie aan de haal gingen.
Vault 7
Een betrouwbare ethisch handelende hacker verklaarde anoniem aan Global Times hoe men de betrokkenheid van de CIA kon aantonen. Het beveiligingsbedrijf heeft met big data analyse de eigenschappen, doelwitten en kwaadaardige virussen die opdoken bij een groot aantal aanvallen op Chinese instellingen vergeleken met de informatie die in 2017 door WikiLeaks gelekt is over Vault 7. Vault 7 toont in detail hoe de CIA te werk gaat bij elektronische surveillance en cyberoorlog.
360 Qihoo dankt haar doorbraak in dit dossier voor een goed deel aan een vroegere CIA-medewerker, Joshua Adam Schulte. Die werkte als stagiair voor de Amerikaanse veiligheidsdienst NSA en werd in 2010 aangeworven door de CIA. Hij was verantwoordelijk voor technologische informatiegaring bij de National Clandestine Service. Schulte was betrokken bij het ontwikkelen van Vault 7. Hij organiseerde de lek naar WikiLeaks in 2017 en in 2018 werd hij gearresteerd. Zijn proces is onlangs begonnen.
APT-C-39 = CIA?
De hackings werden uitgevoerd door een groep met als codenaam APT-C-39. De vroegste aanvallen zijn te vinden in 2008. Organisaties in Beijing, Guangdong en Zhejiang werden het slachtoffer. De aanvallen waren vooral gericht op systeemontwikkelaars uit de lucht- en ruimtevaartsector en onderzoekscentra, die werkten op vluchtcontrolesystemen, vrachtinformatie en passagiersinformatie.
Uit de lijst van getroffen instellingen blijkt dat de hackers op zoek waren naar belangrijke geheime informatie.
De banden tussen APT-C-39 en de CIA blijken vooral uit de grote overeenkomst in technische details tussen wat Vault 7 beschrijft en wat APT-C-39 doet.
360 Qihoo stelde vast dat APT-C-39 tegen Chinese doelwitten exclusieve CIA cyberwerktuigen gebruikte zoals Fluxwire en Grasshopper, die in Vault 7 beschreven staan. Het bedrijf kon dat bevestigen op basis van monsters van computercodes en specifiek gedrag. De achterpoortjes van Fluxwire werden sinds 2010 frequent gebruikt en het programma kreeg ook updates.
Sporen leiden ook naar NSA
Er zijn ook banden tussen APT-C-39 en de NSA. Zo werd bij een cyberaanval op een groot Chinees bedrijf in 2011 WISTFULTOOL gebruikt. Dat is een plugin die aanvalt en waarvan in 2014 uitlekte dat de NSA hem gebruikt. Volgens documenten van Wikileaks hielp de NSA de CIA bij het ontwikkelen van cyberwerktuigen.
360 Qihoo heeft een catalogus gepubliceerd met onderschepte malware, samen met een analyse van hun ontstaanssgeschiedenis. Daaruit blijkt dat de malware gemaakt werd tijdens de kantooruren aan de Amerikaanse Westkust. Het tijdstip van de aanvallen komen daarmee overeen, en de aanvallen blijken ook te komen uit Virginia, toevallig de staat waar de CIA gevestigd is.
De aanvallen gebeurden meestal met phising emails. Het is onduidelijk welke vertrouwelijke gegevens door de hackers gestolen zijn. Vast staat dat de gebruikte tools hen in staat stelden veel vertrouwelijke data op het spoor te komen en grote aantallen kwaadaardige virussen los te laten op Chinese netwerken.
Hypocriet
Na deze onthullingen klinkt het hypocriet wanneer de VS China beschuldigen van cyberspionage. Nochtans is dit het argument dat het meest gebruikt wordt voor het rechtvaardigen van de pogingen China technologisch te dwarsbomen, zoals in het geval van de 5G van Huawei.
China’s National Computer Network Emergency Response Technical Team (CNCERT) suggereerde in zijn jaarrapport van juni 2019 al dat de meeste cyberaanvallen op China in 2018 door de VS uitgevoerd werden. Maar zo concreet als nu werd het nooit aangetoond.
Bronnen: People’s Daily, Global Times, South China Morning Post
