Enkele recente Chinese onderzoeksrapporten geven een inkijk in de technieken gebruikt bij Amerikaanse cyberspionage tegen China.
Een eerste rapport beschrijft de cyberaanvallen tegen de Northwestern Polytechnical University in Xi’an. Dit is een nationale topuniversiteit gefinancieerd door het ministerie van industrie en informatietechnologie, die strategisch onderzoek doet om China een technologische sprong voorwaarts te laten maken, onder meer op gebied van lucht- en ruimtevaart.
Het rapport is opgesteld door het National Computer Virus Emergency Response Center in samenwerking met de beveiligingsfirma Beijing Qi’an Pangu Laboratory Technology en spitst zich toe op de cyberaanvallen door het Tailored Access Operations (TAO) Office, een onderdeel van de Amerikaanse National Security Agency (NSA).
Een grote hoeveelheid gevoelige data werden gestolen via het programma Suctionchar. Dit is een programma dat zeer moeilijk op te sporen is en zich goed integreert in de omgeving waarin het terechtkomt. Het steelt de identiteit en de paswoorden voor afstandsbediening en overdracht van bestanden op de geviseerde server. Het werkt zowel bij servers op Linux als op Unix.
Uit de technische analyse blijkt dat Suctionchar kan samenwerken met andere cyberwapens. Om Suctionchar geïnstalleerd te krijgen op een geviseerde server doet men beroep op Acid Fox, een platform dat de kwetsbare punten zoekt, op het trojaans virus NOPEN en andere cyberwapens die zich richten op de zwakste punten van een systeem om de controle ervan te kunnen overnemen.
Eenmaal op een server kan Suctionchar stiekem in real time de input van gebruikers op terminals volgen en alle gebruikersnamen en paswoorden onderscheppen.
Die data worden dan door het TAO verder gebruikt om toegang te krijgen tot andere servers en netwerkonderdelen om daar gegevens te stelen of andere cyberwapens te droppen.
Ook werd ontdekt dat Suctionchar samenwerkte met het trojaans programma Bvp47, één van de krachtigste cyberwapens gebruikt door de Equation Group, een onderdeel van de NSA.
Volgens een rapport van het Pangu Laboratory deze week, werd Bvp47 over een periode van meer dan 10 jaar gebruikt in 45 landen in de wereld. Volgens het labo wijst dat op een breed aanvalsspectrum, eerder dan gefocuste aanvallen op strategische concurrenten. In China werden 64 systemen met Bvp47 gehackt, maar Japan werd ook 32 keer aangevallen, Zuid-Korea 30 keer en Duitsland 16 keer
Bron: Xinhua
