Chinese ingenieur in VS aangeklaagd voor jarenlange cyberspionage gericht op NASA en leger

Een Chinese staatsburger is in de VS aangeklaagd wegens het uitvoeren van een ‘meerjarige’ spear-phishingcampagne om ongeautoriseerde toegang te verkrijgen tot computersoftware en broncodes die zijn gemaakt door de National Aeronautics and Space Administration (NASA), onderzoeksuniversiteiten en particuliere bedrijven.

Song Wu, 39, is aangeklaagd voor 14 gevallen van telefraude en 14 gevallen van zware identiteitsfraude. Als hij schuldig wordt bevonden, riskeert hij een maximale gevangenisstraf van 20 jaar voor elk geval van telefraude en een opeenvolgende gevangenisstraf van twee jaar voor zware identiteitsfraude.

Hij was werkzaam als ingenieur bij de Aviation Industry Corporation of China (AVIC), een Chinees staatsbedrijf in de lucht- en ruimtevaart en defensie dat in 2008 werd opgericht en het hoofdkantoor in Beijing heeft.

Volgens informatie op de website van AVIC heeft het bedrijf “meer dan 100 dochterondernemingen, bijna 24 beursgenoteerde bedrijven en meer dan 400.000 werknemers.” In november 2020 en juni 2021 werden het bedrijf en enkele van zijn dochterondernemingen het onderwerp van Amerikaanse sancties, waardoor Amerikanen niet meer in het bedrijf mochten investeren.

Er wordt gezegd dat Song een spearfishingcampagne heeft uitgevoerd. Daarbij werden e-mailaccounts aangemaakt die leken op in de VS gevestigde onderzoekers en ingenieurs. Deze accounts werden vervolgens gebruikt om gespecialiseerde beperkte of gepatenteerde software voor lucht- en ruimtevaarttechniek en computationele vloeistofdynamica te verkrijgen.

De software kan ook worden gebruikt voor industriële en militaire toepassingen, waaronder de ontwikkeling van geavanceerde tactische raketten en het aerodynamische ontwerp en de beoordeling van wapens.

Volgens het Amerikaanse ministerie van Justitie (DoJ) werden deze e-mails verzonden naar werknemers van NASA, de Amerikaanse luchtmacht, marine en landmacht en de Federal Aviation Administration, maar ook naar personen die werkzaam zijn bij grote onderzoeksuniversiteiten in Georgia, Michigan, Massachusetts, Pennsylvania, Indiana en Ohio.

De pogingen tot social engineering, die rond januari 2017 begonnen en tot en met december 2021 duurden, waren ook gericht op bedrijven in de particuliere sector die actief zijn in de lucht- en ruimtevaartsector.

De frauduleuze berichten zouden zijn verzonden door een collega, partner, vriend of andere mensen in de onderzoeks- of ingenieursgemeenschap, waarin potentiële doelwitten werd gevraagd om broncode of software te sturen of beschikbaar te stellen waartoe zij toegang hadden. Het DoJ heeft de naam van de software of de huidige verblijfplaats van de gedaagde niet bekendgemaakt.

“De FBI en onze partners hebben opnieuw aangetoond dat cybercriminelen overal ter wereld die de meest gevoelige en waardevolle informatie van onze bedrijven willen stelen, ontmaskerd en ter verantwoording geroepen kunnen en zullen worden”, aldus Keri Farley, Special Agent in Charge van FBI Atlanta.

“Zoals uit deze aanklacht blijkt, is de FBI vastbesloten om iedereen te arresteren en vervolgen die zich bezighoudt met illegale en misleidende praktijken om beschermde informatie te stelen.”

Gelijktijdig met de aanklacht heeft het ministerie van Justitie ook een afzonderlijke aanklacht openbaar gemaakt tegen de Chinese staatsburger Jia Wei, een lid van het Volksbevrijdingsleger (PLA), wegens infiltratie van een anoniem Amerikaans communicatiebedrijf in maart 2017 om bedrijfsinformatie te stelen met betrekking tot civiele en militaire communicatieapparatuur, productontwikkeling en testplannen.

“Tijdens zijn ongeautoriseerde toegang probeerden Wei en zijn medeplichtigen kwaadaardige software te installeren die ontworpen was om aanhoudende ongeautoriseerde toegang tot het netwerk van het Amerikaanse bedrijf te bieden,” aldus het DoJ. “Wei’s ongeautoriseerde toegang duurde voort tot ongeveer eind mei 2017.”

Deze ontwikkeling volgt enkele weken nadat het Britse National Crime Agency (NCA) bekendmaakte dat drie mannen, Callum Picari, 22; Vijayasidhurshan Vijayanathan, 21; en Aza Siddeeque, 19, schuldig hebben gepleit aan het runnen van een website waarmee cybercriminelen de fraudecontroles van banken konden omzeilen en de controle over bankrekeningen konden overnemen.

Met de dienst, OTP.agency genaamd, konden maandelijkse abonnees bankrekeninghouders via sociale manipulatie zo ver krijgen dat ze echte eenmalige toegangscodes of persoonlijke gegevens vrijgaven.

De ondergrondse dienst zou tussen september 2019 en maart 2021 meer dan 12.500 burgers hebben aangevallen, waarna de dienst offline werd gehaald nadat het trio was gearresteerd. Het is momenteel niet bekend hoeveel illegale inkomsten de operatie genereerde tijdens zijn levensduur.

“Een basispakket van £30 per week maakte het mogelijk om multi-factor authenticatie te omzeilen op platforms zoals HSBC, Monzo en Lloyds, zodat criminelen frauduleuze online transacties konden voltooien,” aldus de NCA. “Een elite-abonnement kostte £380 per week en gaf toegang tot Visa- en Mastercard-verificatiesites.”

Thijs Van der Does