Aanklacht tegen Chinese hackers die terabytes aan data stalen

  • 5 minuten
  • 30 juli 2020

Verdachten maakten honderden miljoenen buit

Op 21 juli gaf het Amerikaanse Ministerie van Justitie een aanklacht vrij tegen twee Chinese hackers die wereldwijd schade zouden hebben aangericht. In de aanklacht wordt beschreven hoe Li Xiaoyu en Dong Jiazhi sinds 2009 op freelance basis voor de Chinese overheid zouden hebben gewerkt. Onder de mogelijke slachtoffers staan ook Nederlandse bedrijven vermeld, waaronder een civiel techniek en transportbedrijf en een groot elektronicabedrijf.

De twee zouden honderden miljoenen aan schade hebben veroorzaakt door het stelen van handel- en bedrijfsgeheimen. In één van de gevallen zou de broncode van een bedrijf gestolen zijn, waarna de hackers dreigde de broncode openbaar te maken indien het bedrijf geen geldsom zou betalen. Bij andere organisaties zou informatie zijn gestolen met betrekking tot militaire communicatie, waaronder informatie over draadloze netwerken, lasers dienende als contra-chemische wapens, en integratiesystemen voor helikopters. Ook zouden zij opzoek zijn geweest naar bedrijfsgeheimen in relatie tot coronamedicijnen, -vaccins, -behandelingen en -onderzoek.

Veelal zouden de hackers bedrijven zijn binnengedrongen door bekende kwetsbaarheden te misbruiken op systemen van slachtoffers. In sommige gevallen zouden kwetsbaarheden zijn misbruikt die net openbaar gemaakt werden, in de hoop dat bedrijven hun systemen nog niet bijgewerkt hadden. Ook zou webserversoftware onder vuur zijn genomen wanneer deze verouderd of niet geconfigureerd was.

Nadat de twee verdachten binnen waren, installeerden zij backdoors in de vorm van ‘China Chopper’ web shells. Dit gaf hen de mogelijkheid om op elk gewenst moment terug te keren naar het netwerk van de gehackte bedrijven. In sommige gevallen zat er een aantal jaar tussen de verschillende keren dat zij buitmaakten.

Bij het buitmaken van bedrijfsgeheimen en andere gevoelige informatie werd de gestolen informatie gecomprimeerd tot een RAR-archief en veelal werd de extensie van het archief aangepast zodat het een onschuldig bestand leek, zoals een foto. Zowel de geïnstalleerde backdoor als de gestolen bestanden werden verborgen in de ingebouwde prullenmand van Microsoft Windows. Na succesvolle exfiltratie zou de informatie zijn doorverkocht aan China, beschrijft de aanklacht. Naast dat de hackers RAR-archieven maakten van de data die zij stalen, gebruikten zij ook tarballs op Linux om gestolen data te verbergen.

Pad van infiltratie

De hackers zouden gebruik hebben gemaakt van kwetsbaarheden in software om een foothold te creëren binnen het netwerk van hun slachtoffers. In de aanklacht wordt beschreven dat ten minste CVE-2018-15961 is gebruikt in een poging tot infiltratie. Dit ID duidt op een kritieke kwetsbaarheid in Adobe ColdFusion die openbaar gemaakt werd op 1 maart 2019. Op 28 september dat jaar maakte Adobe bekend dat de kwetsbaarheid actief misbruikt werd.

Eenmaal binnen, installeerden de hackers China Chopper; hier werd rond 2012 voor het eerst over geschreven. De malware was destijds in verschillende programmeertalen geschreven, waaronder ASP, PHP en JSP, en had een ingebouwde verkenner, database client en command shell. Alle communicatie tussen een geïnfecteerd systeem en de Command & Control-server vond plaats in base64 encoded tekst. Tot zeker dit jaar maart werd de China Chopper-malware teruggevonden bij verschillende incident response cases en threat intelligence-onderzoek.

Bij installatie van de backdoors geïnstalleerd werden de bestanden ook 'timestomped': een modificatie op een bestand die het tijdstip 'laatst bewerkt' aanpast.

Door het gebruik van credential stealing-software, konden de hackers wachtwoorden van gebruikers en systemen achterhalen, die vervolgens weer misbruikt werden om verdere toegang te krijgen tot het netwerk.

Mitigatie en detectie

Omdat de backdoor als het ware als onveilige webserver fungeert, kan deze mogelijk detectie van standaard antimalwaresoftware omzeilen. Met behulp van Endpoint Detection & Response-software en securitymonitoring op het netwerk zijn analisten in staat om alsnog de malware te detecteren, het systeem te isoleren en onderzoek uit te voeren op een getroffen systeem. Omdat spionage vaak over langere tijd plaatsvindt, is tijdig detecteren van malware of backdoors de sleutel tot het voorkomen van het uitlekken van gevoelige data.