Tienduizenden netwerken geïnfecteerd door Chinese spionnen

Een recente Chinese inbraak in een Nederlandse defensiecomputer blijkt slechts het topje van de ijsberg te zijn. Volgens de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) is de Chinese cyberspionagecampagne veel omvangrijker dan eerder gedacht, met tienduizenden geïnfecteerde netwerken wereldwijd, waaronder die van overheden en defensiebedrijven.
De besmetting gebeurde via Fortigate, een firewall-systeem voor beveiligd thuiswerken, dat vele tienduizenden gebruikers over de hele wereld heeft. De Chinese hackers maakten gebruik van een zwakte in de software. Toen Fortigate de kwetsbaarheid ontdekte, hadden de Chinezen er al twee maanden gebruik van gemaakt en waren er al 14.000 systemen geïnfecteerd.
Spionage
In februari meldde de MIVD dat een zogenaamde ‘RAT’ (Remote Access Trojan) was ontdekt op een defensiecomputer, met als doel spionage. Deze kwaadaardige software, genaamd Kleerhanger, nestelt zich onopgemerkt in systemen en geeft buitenstaanders toegang. Coathanger is stiekem en hardnekkig, waarschuwde de dienst in een brief aan bedrijven. Het verbergt zichzelf door zich vast te haken aan systemen die hun aanwezigheid kunnen onthullen en overleeft herstarten en software-upgrades.
Het was voor het eerst dat de MIVD zo duidelijk de Chinese overheid als dader van een cyberaanval kon aanwijzen. Zekerheid over de identiteit van de daders bij cyberaanvallen is zeldzaam, vooral als er regeringen bij betrokken zijn. Hackers zijn meesters in het verhullen van hun identiteit. “We worden beter in het herleiden van aanvallen”, zei toenmalig directeur Jan Swillens. “Maar we zijn nog niet goed genoeg. Het is een wapenwedloop.” Swillens, inmiddels commandant van de landmacht, noemde dit ‘de Champions League van de cybercriminaliteit’.
Opmerkelijk
De MIVD ontdekte de malware vorig jaar op een geïsoleerd computernetwerk binnen defensie. Dit netwerk bevatte geen geheime informatie en was niet verbonden met andere netwerken, waardoor er geen schade kon ontstaan.
Opmerkelijk was dat de MIVD de werkwijze van de Chinese hackers openbaar maakte. “Het naar buiten brengen van de werkwijze is een nieuwe stap voor ons”, zei Swillens. “We willen bedrijven helpen onderzoeken of hun Fortigate-systemen ook geïnfecteerd zijn. We weten niet hoe wijdverspreid de besmettingen zijn.”
De keuze van de MIVD om de Chinese spionage zo nadrukkelijk in de schijnwerpers te zetten, is ook een signaal aan China. “We gaan natuurlijk niet over één nacht ijs voor we dit met zekerheid kunnen zeggen: dit is echt China dat Nederland aanvalt”, aldus de toenmalige MIVD-baas.