De VS en Groot-Brittannië hebben sancties opgelegd aan individuen en groepen die volgens hen politici, journalisten en critici van Peking als doelwit hebben genomen in een grootschalige cyberspionagecampagne – naar verluidt geleid door een deel van het Chinese Ministerie van Staatsveiligheid.
De omvang van de operatie werd maandag onthuld, hoewel sommige aanvallen voorheen openbaar waren. Nieuw-Zeeland gaf dinsdag door de staat gesponsorde Chinese hackers de schuld van een cyberaanval in 2021 die gevoelige overheidscomputersystemen infiltreerde.
Wie zit er achter de cyberaanval?
Zowel Groot-Brittannië als de VS wijzen met de vinger naar een hackergroep die in de cyberveiligheidsgemeenschap bekend staat als Advanced Persistent Threat 31 (APT 31).
Westerse inlichtingenexperts gebruiken de naamgevingsconventie van APT om hackergroepen te identificeren die banden hebben met buitenlandse regeringen. Volgens Mandiant, een Amerikaans cybersecuritybedrijf en dochteronderneming van Google, zijn er ruim veertig APT-groepen, waarvan er ruim twintig vermoedelijk door China worden beheerd.
APT 31, ook wel bekend als Zirconium, Purple Typhoon, Judgment Panda en Altaire, wordt volgens het Amerikaanse ministerie van Justitie beheerd door het Chinese Ministerie van Staatsveiligheid vanuit de stad Wuhan.
De groep werd in het verleden beschuldigd van spraakmakende aanvallen: Google en Microsoft waarschuwden in 2020 dat de groep zich had gericht op de persoonlijke e-mails van campagnemedewerkers die voor Joe Biden werkten.
De Britse regering zegt dat het ook verband houdt met de hack van Microsoft Exchange-e-mailserversoftware uit 2021, die tienduizenden computers over de hele wereld in gevaar bracht.
In een verklaring van dinsdag zei Nieuw-Zeeland dat een afzonderlijke, door de Chinese staat gesteunde groep – APT 40 – achter de aanval zat, waarbij computers die op het parlementaire netwerk waren aangesloten, in gevaar werden gebracht.
Volgens Mandiant is APT 40 een Chinese cyberspionagegroep die zich doorgaans richt op landen die van strategisch belang zijn voor het Belt and Road Initiative.
Wie was het doelwit?
De VS en Groot-Brittannië stellen dat de hackcampagne gericht was op een breed scala aan particulieren, maar ook op strategisch belangrijke bedrijven en overheidsfunctionarissen.
De Britse regering noemde twee “kwaadaardige cybercampagnes gericht op democratische instellingen en parlementariërs”.
De eerste campagne leidde ertoe dat Peking toegang kreeg tot de persoonlijke gegevens van ongeveer 40 miljoen kiezers, die in het bezit waren van de verkiezingscommissie. Volgens de regering had de aanval – die plaatsvond tussen eind 2021 en oktober 2022 – geen impact op het verkiezingsproces of de kiezersregistratie.
De tweede campagne is doelgerichter. Britse inlichtingenfunctionarissen zeiden dat het “zeer waarschijnlijk” was dat APT 31 “verkenningsactiviteiten uitvoerde tegen Britse parlementariërs”. De politici die het doelwit waren van de hackpogingen waren prominente critici van China. De Britse inlichtingendienst zei dat geen van haar rekeningen was gecompromitteerd.
In zijn verklaring van maandag citeerde het Amerikaanse ministerie van Justitie een 14 jaar durende mondiale campagne die een veel grotere reikwijdte lijkt te hebben. Onder de geïdentificeerde doelwitten bevinden zich politieke dissidenten, critici van China, Amerikaanse overheidsfunctionarissen, politieke kandidaten en Amerikaanse bedrijven.
In totaal liepen de doelwitten in de duizenden, en het ministerie van Justitie bevestigde dat sommige van de activiteiten met succes “e-mailaccounts, cloudopslagaccounts en telefoongespreklogboeken” in gevaar brachten. Het voegde eraan toe dat een deel van de surveillance van e-mailaccounts al “vele jaren” aan de gang was.
Critici van Chinese regeringen en aanhangers van Chinese politieke dissidenten lijken gemeenschappelijke doelwitten voor hackers te zijn.
De VS beweren dat APT 31 zich in 2021 richtte op de e-mailaccounts van talrijke buitenlandse overheidsfunctionarissen die lid waren van de Inter-Parliamentary Alliance on China (IPAC), waarvan het verklaarde doel was om “de bedreigingen van de Chinese Communistische Partij tegen te gaan”. Onder hen waren politici uit de EU en Groot-Brittannië.
En als reactie op de pro-democratische protesten in Hong Kong in 2019 zou APT 31 zich meer richten op activisten en journalisten die bij de beweging betrokken zijn.
Nieuw-Zeeland zei dat er tijdens de cyberaanval enkele gegevens zijn verzameld op zijn parlementaire adviesbureau en parlementaire dienst, maar dat geen daarvan als gevoelig of strategisch wordt beschouwd.
Hoe gebeurde de aanval?
Zowel Groot-Brittannië als de VS beweren dat APT 31 phishing-technieken heeft gebruikt – waarbij slachtoffers e-mails ontvangen met links die hun privégegevens stelen – om toegang te krijgen tot gevoelige informatie.
Plaatsvervangend Amerikaans procureur Lisa Monaco zei dat er meer dan 10.000 e-mails – die afkomstig leken te zijn van nieuwsmedia, politici en critici van China – werden verzonden als onderdeel van de campagne.
Volgens de VS bevatten de phishing-e-mails verborgen trackinglinks; Als slachtoffers deze e-mails openden, werd informatie, waaronder de locatie, het apparaat en het IP-adres van de ontvanger, verzonden naar een server die werd beheerd door de hackers. APT 31 gebruikte deze informatie vervolgens om gerichter hacken mogelijk te maken, zoals het in gevaar brengen van de thuisrouters en andere elektronische apparaten van de ontvanger.
Wat was hun doel?
Monaco zei dat het doel van de operatie was om “critici van het Chinese regime te onderdrukken, overheidsinstellingen in gevaar te brengen en bedrijfsgeheimen te stelen”.
De Verenigde Staten zeggen dat APT 31 zich richtte op ‘tientallen bedrijven die actief zijn in gebieden van nationaal economisch belang’. Het gaat onder meer om bedrijven die werkzaam zijn in de defensie-, telecommunicatie- en productiesector.
Deze activiteiten resulteerden in “bevestigde … compromissen van economische plannen, intellectueel eigendom en bedrijfsgeheimen”.
Echtgenoten van hoge functionarissen van het Witte Huis en Amerikaanse senatoren waren ook het doelwit, samen met campagnepersoneel van beide grote Amerikaanse politieke partijen. Ondanks dat de groep zich richtte op de verkiezingscampagne van Biden in 2020, zei het rapport van het ministerie van Justitie dat de hack niet heeft bijgedragen aan enige ‘inspanningen van de Chinese regering om de verkiezingen te beïnvloeden’.
Wat is het volgende?
De spanningen over cyberspionagekwesties tussen Peking en Washington lopen al een tijdje op, waarbij westerse inlichtingendiensten steeds vaker waarschuwen voor vermeende door de Chinese staat gesteunde hackactiviteiten.
In Groot-Brittannië wordt de regering bekritiseerd omdat ze te traag reageert op de cyberaanvallen, die plaatsvonden tussen 2021 en 2022.
Luke de Pulford, CEO van Ipac, zei dat de regering “een beetje aarzelend leek om te zeggen dat China het daadwerkelijk heeft gedaan”.
Conservatief parlementslid Iain Duncan Smith, een van degenen die het doelwit waren van de hackoperatie, beschreef de reactie van Groot-Brittannië als “als een olifant die een muis baart”, en voegde eraan toe: “We moeten nu een nieuw tijdperk van betrekkingen met China ingaan, waarin we omgaan met de moderne Chinese Communistische Partij zoals ze werkelijk is, en niet zoals we zouden willen dat ze was.”
China heeft de beschuldigingen afgewezen dat China of staatsgelieerde organisaties verantwoordelijk zouden zijn voor de aanslagen.
“China heeft altijd krachtig gevochten tegen alle vormen van cyberaanvallen, in overeenstemming met de wet”, zei een woordvoerder van de Chinese ambassade in Groot-Brittannië. “China moedigt cyberaanvallen niet aan, ondersteunt of vergoelijkt ze niet.”
Reuters heeft bijgedragen aan dit rapport