Chinese media: Mandiant rapport is verkooppraatje
Het rapport van het Amerikaanse beveiligingsbedrijf Mandiant waaruit zou blijken dat een Chinese legereenheid grootschalige spionagecampagnes tegen westerse landen en bedrijven uitvoert, heeft volgens de Chinese media als enige doel om de diensten van het bedrijf te verkopen. In het rapport staat dat Chinese hackers al jaren lang terabytes aan gegevens stelen.
Volgens zowel het Chinese staatspersbureau Xinhua als The China Post heeft Mandiant alleen commerciële motieven met het naar buiten brengen van het rapport. "Je hoeft geen cybersecurity-expert te zijn om te weten dat professionele hackers meestal een botnet in andere delen van de wereld als proxies voor aanvallen gebruiken, niet hun eigen computers", zo stelt Xinhua in een commentaar.
Het zou dan ook zeer onwaarschijnlijk zijn dat zowel de herkomst van de hackers als de locatie waar vandaan de aanvallen zijn uitgevoerd naar hetzelfde land wijzen. Daarom noemde het Chinese Ministerie van Defensie het rapport ook 'amateuristisch', stelt Xinhua. Mandiant zou bewust de 'valse beschuldigingen' hebben verspreid om er zelf beter van te worden.
Commercieel
"Als je het rapport nader bestudeert, is het niet moeilijk om te ontdekken dat het naar een commerciële stunt ruikt", zo laat het commentaar weten. In een verklaring over het rapport zou Kevin Mandia, oprichter en CEO van het bedrijf, alleen maar de producten en diensten van zijn bedrijf aanprijzen.
Het bedrijf wilde naar eigen zeggen met de publicatie andere bedrijven waarschuwen en de cyberspionage door China aantonen. "De volgende keer zou de CEO gewoon kunnen zeggen: "Zie je de Chinese hackers? Schiet op en koop onze diensten."', merkt redacteur Liu op.
Vijand
Hij wijst ook naar het neerzetten van China als nieuwe vijand van de Verenigde Staten door Amerikaanse politici en zakenmensen, die dit voor hun eigen persoonlijke politieke en commerciële belangen doen. "Met name op een moment dat het Amerikaanse congres op het punt staat een budgetplan voor het nieuwe fiscale jaar goed te keuren."
Zonder China als nieuwe vijand zouden ze geen "excuses" meer hebben om meer geld te vragen voor het opbouwen van een nog sterkere cybermacht of het kopen van meer hardware en diensten van bedrijven zoals Mandiant, gaat Liu verder.
Hij wijst al naar de superioriteit die de VS heeft om cyberaanvallen overal ter wereld uit te voeren. Het meest in het oog springende voorbeeld is Stuxnet, dat een Iraanse uraniumverrijkingscentrale saboteerde.
Aanvallen
Terwijl de westerse media zich op Unit 61398 van het Chinese leger richt, wijst Xinhua naar de 780th Military Intelligence Brigade van het Amerikaanse leger, dat met regelmaat cybermissies zou uitvoeren. Daarnaast heeft de VS een verleden om landen aan de hand van vals bewijs te beschuldigen, merkt Liu op. Het Chinese staatspersbureau verwacht dan ook dat zal blijken dat de beschuldigingen over cyberaanvallen ongegrond zullen blijken, en alleen het imago en de reputatie van Mandiant zullen beschadigen, alsmede de VS.
Overheid
Ook The China Post vermoedt dat commerciële motieven een rol spelen. "Mandiant heeft ook duidelijk een commercieel belang in het vrijgeven van de informatie", laat de krant weten. Klanten zouden namelijk al over de aanvallen zijn gewaarschuwd en over bescherming beschikken om de ontdekte technieken af te weren.
De krant merkt verder op dat Mandiant inmiddels een centrale rol speelt in het debat over cybersecurity. Zo sprak de oprichter eerder deze maand voor een inlichtingencomité over hackingdreigingen.
Vorige week tekende president Barack Obama een 'executive order' om de samenwerking tussen overheid en bedrijfsleven te verbeteren, aldus de krant.
Feit is dat dit rapport commercieel gezien perfekt geplaatst is: de week voordat RSA in San Francisco plaats gaat vinden en het natuurlijk niet gaat om "koop onze produkten". Maar een ander zou dat commercieel gezien ook gedaan hebben als ze zo'n rapport maken :-)
Interessant om te lezen: Mandiant APT1 Report Has Critical Analytic Flaws, http://jeffreycarr.blogspot.nl/2013/02/mandiant-apt1-report-has-critical.html door Jeffrey Carr.
Als er een land een atoombom maakt of kernproeven doet dan schreeuwt de VS moord en brand.
Ik vind dat ze pas recht van spreken hebben als een land meer atoombommen heeft of meer kernproeven heeft gedaan dan de VS zelf.
Ik denk dat de Chinezen het imago tegen hebben en het er zelf naar gemaakt hebben maar dat dit rapport inderdaad niet geheel naar waarheid is opgesteld.
Het blijft een simpele miscalculatie van de Chinese hackteams om niet de moeite te nemen de herkomst beter te verbergen. Met de hoeveelheid monitoring van de Chinese overheid op het Internet in eigen land is het eerlijk gezegd ook niet erg geloofwaardig dat men dergelijke aanvallen niet zou opmerken. Vooral ook omdat men dan vervolgens blijkbaar niets er tegen doet. Iets wat erg raar is omdat het dataverkeer versleuteld is en dus zeker de overheid zou moeten triggeren.
Maar het is uiteraard een spelletje wat ze allemaal spelen en helaas voor de Chinese hackteams heeft Mandiant hen nu vrijwel met de hand in koekjespot op de foto staan. Tja... kwestie van incapabele managers die een dergelijke operatie leiden en slecht risicomanagement aan hun kant...
Aan de andere kant speelt plausible deniability hier een grote rol. Het grote publiek weet niet wie men moet geloven dus volgt de eigen voorkeur en leest idealiter de berichtgeving die het meeste past bij de eigen voorkeur dus.... Maakt het niet uit wat er werkelik gebeurd. Het netto resultaat is dat de mensen met een mening deze niet wijzigen en de data blijft stromen richting de personen die achter die Chinese IP's zitten...
Dat het verkeer getraceerd kan worden naar hosts in China staat kennelijk - ook voor de chinezen zelf - buiten kijf. Er is verkeer via China gegaan. Tja - volgens mij zijn er maar 2 opties: of de IP adressen zijn inderdaad van een andere partij (niet-chinezen), maar dan hebben ze daar met de Big Brother overheid een serieus probleem, of hun hacking unit doet maar wat, en dan staat ons nog wat te wachten op het moment dat ze echt weten wat ze doen.
Maar hoe je het ook bekijkt, Chinese betrokkenheid is niet te ontkennen!
Er is een groot verschil in kennis en kunde tussen de diverse "functionarissen" die betrokken zijn bij een aanval. Het is dus goed mogelijk dat men fouten maakt zoals het gebruik van een Chinees IP.
Het kan ook zijn dat een andere club bepaalde aanvallen uitvoert en het handig vind dat de Chinezen erop worden aangekeken, sommige clubs hebben dat kunst verheven. Het is ook mogelijk dat China een double bluf uitvoert (dus met opzet een Chinees IP gebruiken, om daarna te zeggen dat ze dat toch niet zouden doen).
Je moet je wel je hoofd de laatste 7 jaar in het zand hebben gehad om geloof te hechten aan iets dat Chinezen zeggen over targeted attacks. Het is uiteraard allemaal spin. Geen acht op slaan en het bij de feiten houden is verstandiger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
