Een groot datalek van een Chinees cyberbeveiligingsbedrijf heeft een zeldzame inkijk gegeven in de interne werking van aan Peking gelieerde hackers.
Analisten zeggen dat het lek een schat aan informatie is over de dagelijkse activiteiten van het Chinese hackprogramma, dat volgens de FBI het grootste van welk land dan ook is. I-Soon moet nog bevestigen dat het lek waar is en heeft niet gereageerd op een verzoek om commentaar. Vanaf vrijdag zijn de gelekte gegevens verwijderd uit de online softwarerepository GitHub, waar deze zijn gepubliceerd.
Van personeelsklachten over salarissen en roddels op kantoor tot claims over hacking door buitenlandse overheden, hier zijn enkele van de belangrijkste inzichten uit de lekken:
Wie is er gehackt?
Elke dag richtten de werknemers van I-Soon zich op de grote vissen.
Bij overheidsinstanties in buurland China, waaronder Kirgizië, Thailand, Cambodja, Mongolië en Vietnam, waren websites of e-mailservers gecompromitteerd, zo bleek uit het lek. De lijst met doelwitten is lang, van Britse ministeries tot Thaise ministeries. Het personeel van I-Soon pochte in gelekte chats ook dat ze toegang hadden verkregen tot telecommunicatiedienstverleners in onder meer Pakistan, Kazachstan, Mongolië, Thailand en Maleisië. Ze noemden de regering van India – de geopolitieke rivaal van Peking – als een belangrijk doelwit voor ‘infiltratie’. En ze beweerden back-end-toegang te hebben veiliggesteld tot instellingen voor hoger onderwijs in het zelfbesturende Hongkong en Taiwan, dat China claimt als onderdeel van zijn grondgebied. Maar ze gaven ook toe dat ze de toegang waren kwijtgeraakt tot een deel van hun gegevens die in beslag waren genomen bij overheidsinstanties in Myanmar en Zuid-Korea.
Andere doelwitten zijn van binnenlandse aard, van de noordwestelijke Chinese regio Xinjiang tot Tibet, en van illegale pornografie tot casino’s.
Wie betaalde voor I-Soon?
Afgaande op de lekken waren de meeste klanten van I-Soon provinciale of lokale politiediensten – evenals staatsveiligheidsdiensten op provinciaal niveau die verantwoordelijk waren voor de bescherming van de Communistische Partij tegen waargenomen bedreigingen voor haar bewind. Het bedrijf bood klanten ook hulp bij het beschermen van hun apparaten tegen hacking en het beveiligen van hun communicatie – waarbij veel van hun contracten als “niet-vertrouwelijk” werden vermeld.
Er waren verwijzingen naar officiële corruptie: in één gesprek bespraken verkopers de verkoop van de producten van het bedrijf aan de politie – en waren ze van plan steekpenningen te betalen aan degenen die bij de verkoop betrokken waren.
Er werd ook melding gemaakt van een cliënt in Xinjiang, waar Peking beschuldigd is van ernstige mensenrechtenschendingen. Maar de arbeiders klaagden over de uitdagingen die het zakendoen in de gespannen regio met zich meebrengt.
“Iedereen beschouwt Xinjiang als een mooie grote taart… maar we hebben daar te veel geleden”, schreef er een.
In hun gesprekken vertelden medewerkers van I-Soon aan collega’s dat hun belangrijkste focus het creëren van ‘Trojaanse paarden’ was (malware vermomd als legitieme software waarmee hackers toegang kunnen krijgen tot privégegevens) en het bouwen van databases met persoonlijke informatie.
“Op dit moment zijn de Trojaanse paarden vooral gericht op de staatsveiligheidsafdeling van Peking”, zei iemand.
Hij schetste ook hoe de hackers van het bedrijf op afstand toegang kunnen krijgen tot iemands computer en deze kunnen overnemen, waardoor ze opdrachten kunnen uitvoeren en kunnen controleren wat ze typen, ook wel keylogging genoemd. Andere diensten omvatten manieren om Apple’s iPhone en andere smartphonebesturingssystemen te jailbreaken, evenals aangepaste hardware, waaronder een powerbank die gegevens uit het apparaat kan halen en naar hackers kan sturen.
In één screenshot van het gesprek beschrijft iemand het verzoek van een cliënt om exclusieve toegang tot “het kantoor van de minister van Buitenlandse Zaken, het kantoor van het ministerie van Buitenlandse Zaken van de ASEAN, het kantoor van de premier, de nationale inlichtingendienst” en andere overheidsafdelingen van een niet nader genoemd land. .
Een van de aangeboden diensten is een tool waarmee klanten accounts op sociale mediaplatform X, voorheen Twitter, kunnen hacken, waarbij wordt beweerd dat ze het telefoonnummer van een gebruiker kunnen achterhalen en hun privéberichten kunnen hacken.
I-Soon beschikt ook over een authenticatie-bypass-techniek in twee stappen – een veelgebruikte inlogtechniek die een extra laag accountbeveiliging biedt.
Wie zijn hackers?
Het lek schetst ook een weinig flatterend beeld van de dagelijkse gang van zaken bij een middelgroot Chinees cyberbeveiligingsbedrijf.
De chats van werknemers staan vol met klachten over de kantoorpolitiek, het gebrek aan basiskennis op het gebied van technologie, slechte lonen en slecht management, en de uitdagingen waarmee het bedrijf te maken kreeg bij het werven van klanten. Eén reeks schermafbeeldingen toonde ruzies tussen een werknemer en een supervisor over het loon.
En in een andere uitgelekte chat klaagde een medewerker tegen een collega dat hun baas onlangs een auto had gekocht ter waarde van meer dan 1 miljoen yuan ($139.000) in plaats van hun team loonsverhoging te geven.
‘Droomt de baas ervan keizer te worden?’