Door de staat gesponsorde Chinese hackers zijn geïnfiltreerd in kritieke Amerikaanse infrastructuurnetwerken, zeiden de VS, hun westerse bondgenoten en Microsoft woensdag, terwijl ze waarschuwden dat soortgelijke spionageaanvallen over de hele wereld zouden kunnen plaatsvinden.
Microsoft noemde Guam, een US Pacific Territory met een belangrijke militaire buitenpost, als een van de doelen, maar zei dat er ook elders in de Verenigde Staten “kwaadaardige” activiteiten waren ontdekt.
De hackeraanval, ook wel de “Volt Typhoon” genoemd, begon medio 2021 en was waarschijnlijk bedoeld om de Verenigde Staten te hinderen als er conflicten zouden ontstaan in de regio.
“Microsoft heeft er redelijk vertrouwen in dat deze Volt Typhoon-campagne capaciteiten probeert te ontwikkelen die kritieke communicatie-infrastructuur tussen de Verenigde Staten en de Aziatische regio in toekomstige crises kunnen verstoren”, aldus de verklaring.
“Bij deze campagne zijn de getroffen organisaties communicatie, productie, nutsbedrijven, transport, bouw, scheepvaart, overheid, informatietechnologie en onderwijs.
“Het waargenomen gedrag suggereert dat de dreigingsactor van plan is om spionage te plegen en de toegang zo lang mogelijk onopgemerkt te houden.”
De verklaring van Microsoft viel samen met een advies van autoriteiten in de VS, Australië, Canada, Nieuw-Zeeland en het VK.
Ze zeiden dat een “door de staat gesponsorde cyberacteur” uit China achter Volt Typhoon zat en dat de hacking waarschijnlijk wereldwijd plaatsvond.
“Deze activiteit heeft gevolgen voor netwerken in kritieke infrastructuursectoren in de Verenigde Staten, en de auteursbureaus verwachten dat de acteur dezelfde technieken zou kunnen gebruiken tegen deze en andere sectoren wereldwijd”, aldus de verklaring.
De Verenigde Staten en hun bondgenoten zeiden dat de activiteiten landtactieken zijn waarbij gebruik wordt gemaakt van ingebouwde netwerktools om aan te sluiten op reguliere Windows-systemen.
Er werd gewaarschuwd dat de hacker dan legitieme systeembeheeropdrachten zou kunnen toevoegen die “onschadelijk” lijken.
-‘Zeer uitdagend’-
Microsoft zei dat Volt Typhoon probeerde de normale netwerkactiviteit te verstoren door verkeer te routeren via gecompromitteerde netwerkapparatuur voor kleine kantoren en thuiskantoren, waaronder routers, firewalls en VPN-hardware.
“Ze zijn ook geobserveerd met behulp van aangepaste versies van open-sourcetools”, zei Microsoft.
Microsoft en beveiligingsbureaus hebben richtlijnen opgesteld voor organisaties die aanvallen van hackers proberen op te sporen en zich hiertegen te verdedigen.
De directeur van de Amerikaanse Cybersecurity and Infrastructure Security Agency, Jen Easterly, heeft ook een waarschuwing afgegeven met betrekking tot de Volt Typhoon.
“China voert al jaren wereldwijd operaties uit om intellectueel eigendom en gevoelige gegevens te stelen van kritieke infrastructuurorganisaties over de hele wereld”, zei Easterly.
“De aanbeveling van vandaag, die we samen met onze Amerikaanse en internationale partners hebben uitgebracht, weerspiegelt hoe China geavanceerde middelen gebruikt om de kritieke infrastructuur van ons land aan te pakken.
“Deze gezamenlijke aanbeveling zal netwerkverdedigers meer inzicht geven in hoe ze deze kwaadaardige activiteiten kunnen detecteren en beperken.”
China reageerde niet onmiddellijk op de beschuldigingen. Maar het ontkent regelmatig het uitvoeren van door de staat gesponsorde cyberaanvallen.
China beschuldigt op zijn beurt de Verenigde Staten regelmatig van cyberspionage.
Terwijl China en Rusland al lang kritieke infrastructuur in het vizier hebben, bood de Typhoon Volt nieuwe inzichten in Chinese hackaanvallen, aldus John Hultquist, hoofdanalist bij het Amerikaanse cyberbeveiligingsbedrijf Mandiant.
“Chinese cyberdreigingsactoren zijn uniek onder hun collega’s omdat ze niet regelmatig hun toevlucht hebben genomen tot destructieve en ontwrichtende cyberaanvallen”, zei hij.
“Als zodanig zijn hun capaciteiten vrij ondoorzichtig. Deze onthulling is een zeldzame kans om deze dreiging te onderzoeken en voor te bereiden.”
kma/cwl