Het Amerikaanse ministerie van Justitie (DoJ) heeft maandag de aanklachten tegen zeven Chinese staatsburgers vrijgegeven vanwege hun betrokkenheid bij een hackgroep die zich veertien jaar lang heeft gericht op Amerikaanse en buitenlandse critici, journalisten, bedrijven en politieke functionarissen.
De beklaagden zijn onder meer Ni Gaobin (倪高彬), Weng Ming (翁明), Cheng Feng (程锋), Peng Yaowen (彭耀文), Sun Xiaohui (孙小辉), Xiong Wang (熊旺) en Zhao Guangzong (赵光宗).
De vermoedelijke cyberspionnen zijn beschuldigd van samenzwering om computerinbraken te plegen en samenzwering om draadfraude te plegen in verband met een door de staat gesponsorde dreigingsgroep die wordt gevolgd als APT31, ook bekend als Altaire, Bronze Vinewood, Judgment Panda en Violet Typhoon (voorheen Zirkonium). Het hackcollectief is in ieder geval sinds 2010 actief.
Concreet omvatten hun verantwoordelijkheden het testen en exploiteren van de malware die wordt gebruikt om de inbraken uit te voeren, het beheren van de aanvalsinfrastructuur en het uitvoeren van toezicht op specifieke Amerikaanse entiteiten, merkten federale aanklagers op, eraan toevoegend dat de campagnes zijn ontworpen om de doelstellingen van China op het gebied van economische spionage en buitenlandse inlichtingen te bevorderen.
Zowel Gaobin als Guangzong zouden banden hebben met Wuhan Xiaoruizhi Science and Technology Company, Limited (Wuhan XRZ), een dekmantelbedrijf waarvan wordt aangenomen dat het verschillende kwaadaardige cyberoperaties heeft uitgevoerd voor het Ministerie van Staatsveiligheid (MSS).
Intrusiewaarheid karakteriseerde Wuhan XRZ in een rapport dat in mei 2023 werd gepubliceerd als een “schetsmatig ogend bedrijf in Wuhan dat op zoek is naar kwetsbaarheidsmijnwerkers en deskundigen op het gebied van vreemde talen.”
Naast het aankondigen van een beloning van maximaal $10 miljoen voor informatie die zou kunnen leiden tot de identificatie of de verblijfplaats van mensen die betrokken zijn bij APT31, hebben Groot-Brittannië en de VS ook sancties opgelegd aan de Gaobin, Guangzong en Wuhan XRZ wegens het in gevaar brengen van de nationale veiligheid en voor gericht op parlementariërs over de hele wereld.
“Deze beschuldigingen trekken het gordijn open voor de enorme illegale hackoperatie van China die zich richtte op gevoelige gegevens van Amerikaanse verkozenen en overheidsfunctionarissen, journalisten en academici; waardevolle informatie van Amerikaanse bedrijven; en politieke dissidenten in Amerika en daarbuiten”, aldus de Amerikaanse advocaat Breon Peace.
“Hun sinistere plan heeft duizenden mensen en entiteiten over de hele wereld het slachtoffer gemaakt, en heeft ruim tien jaar geduurd.”
Bij de uitgebreide hackoperatie stuurden de beklaagden en andere leden van APT31 meer dan 10.000 e-mails naar interessante doelwitten, voorzien van verborgen trackinglinks die de locatie van de slachtoffers, het internetprotocol (IP)-adressen, netwerkschema's en de apparaten die werden gebruikt om toegang te krijgen, konden achterhalen. de e-mailaccounts eenvoudigweg bij het openen van de berichten.
Deze informatie stelde de dreigingsactoren vervolgens in staat om gerichtere aanvallen uit te voeren die op specifieke personen waren afgestemd, onder meer door de thuisrouters en andere elektronische apparaten van de ontvangers in gevaar te brengen.
Er wordt ook gezegd dat de bedreigingsactoren gebruik hebben gemaakt van zero-day-exploits om blijvende toegang te behouden tot de computernetwerken van slachtoffers, resulterend in de bevestigde en potentiële diefstal van telefoongesprekken, cloudopslagaccounts, persoonlijke e-mails, economische plannen, intellectueel eigendom en bedrijfsgeheimen. geassocieerd met Amerikaanse bedrijven.
Andere spear-phishing-campagnes, georkestreerd door APT31, bleken zich verder te richten op Amerikaanse overheidsfunctionarissen die in het Witte Huis werken, bij de ministeries van Justitie, Handel, Financiën en Buitenlandse Zaken, en op Amerikaanse senatoren, vertegenwoordigers en verkiezingscampagnepersoneel van beide politieke partijen.
De aanvallen werden mogelijk gemaakt door middel van aangepaste malware zoals RAWDOOR, Trochilus, EvilOSX, DropDoor/DropCat en andere die veilige verbindingen tot stand brachten met door de tegenstander gecontroleerde servers om opdrachten op de computers van het slachtoffer te ontvangen en uit te voeren. Ook werd een gekraakte versie van Cobalt Strike Beacon gebruikt om post-exploitatieactiviteiten uit te voeren.
Enkele van de prominente sectoren waarop de groep zich richt zijn defensie, informatietechnologie, telecommunicatie, productie en handel, financiën, advies, en de juridische en onderzoeksindustrie. APT31 selecteerde ook dissidenten over de hele wereld en anderen van wie werd aangenomen dat ze hen steunden.
“APT31 is een verzameling door de Chinese staat gesponsorde inlichtingenofficieren, contracthackers en ondersteunend personeel die kwaadaardige cyberoperaties uitvoeren namens het Hubei State Security Department (HSSD)”, aldus het ministerie van Financiën.
“In 2010 richtte de HSSD Wuhan XRZ op als dekmantelbedrijf voor het uitvoeren van cyberoperaties. Deze kwaadaardige cyberactiviteit resulteerde in het toezicht op Amerikaanse en buitenlandse politici, experts op het gebied van buitenlands beleid, academici, journalisten en pro-democratische activisten, evenals personen en bedrijven die actief zijn in gebieden van nationaal belang.”
“Door de Chinese staat gesponsorde cyberspionage is geen nieuwe bedreiging en de niet-verzegelde aanklacht van het DoJ van vandaag toont het volledige spectrum van hun cyberoperaties om de agenda van de Volksrepubliek China (VRC) vooruit te helpen. Hoewel dit geen nieuwe bedreiging is, is de reikwijdte ervan van de spionage en de gebruikte tactieken zijn zorgwekkend”, zegt Alex Rose, directeur overheidspartnerschappen bij Secureworks Counter Threat Unit.
“De Chinezen hebben de afgelopen jaren hun typische aanpak ontwikkeld om detectie te omzeilen en het moeilijker te maken om specifieke cyberaanvallen aan hen toe te schrijven. Dit maakt deel uit van een bredere strategische inspanning die China kan uitvoeren. en tactieken waarover de Volksrepubliek China beschikt, maken ze tot een voortdurende grote en aanhoudende bedreiging voor regeringen, bedrijven en organisaties over de hele wereld.
De aanklacht komt nadat de Britse regering APT31 met de vinger heeft gewezen vanwege ‘kwaadwillige cybercampagnes’ gericht tegen de kiescommissie en politici van het land. De inbreuk op de Kiescommissie leidde tot ongeoorloofde toegang tot kiezersgegevens van 40 miljoen mensen.
Het incident werd in augustus 2023 door de toezichthouder bekendgemaakt, hoewel er aanwijzingen zijn dat de dreigingsactoren twee jaar daarvoor toegang hadden gekregen tot de systemen.
China heeft de beschuldigingen echter van de hand gewezen en omschreven als “volledig verzonnen” en neerkomend op “kwaadwillige laster”. Een woordvoerder van de Chinese ambassade in Washington DC zei tegen BBC News dat de landen “ongegronde beschuldigingen hebben geuit”.
“Het traceren van de oorsprong van cyberaanvallen is zeer complex en gevoelig. Bij het onderzoeken en vaststellen van de aard van cyberzaken moet men over adequaat en objectief bewijs beschikken, in plaats van andere landen zwart te maken als er geen feiten bestaan, en nog minder cyberveiligheidskwesties te politiseren.” Dat zei woordvoerder van het ministerie van Buitenlandse Zaken Lin Jian.
“We hopen dat relevante partijen zullen stoppen met het verspreiden van desinformatie, een verantwoordelijke houding zullen aannemen en gezamenlijk de vrede en veiligheid in de cyberspace zullen waarborgen. China verzet zich tegen illegale en eenzijdige sancties en zal zijn wettige rechten en belangen krachtig waarborgen.”
