image

Westerse landen beschuldigen Chinese overheid van cyberspionage

dinsdag 9 juli 2024, 09:54 door Redactie, 10 reacties

Amerikaanse, Australische, Britse, Canadese, Duitse, Japanse, Nieuw-Zeelandse en Zuid-Koreaanse overheidsdiensten beschuldigden de Chinese overheid in een nieuw adviesrapport van cyberspionage. In het document wordt de werkwijzen beschreven van een spionagegroep aangeduid als APT40, die in opdracht van het Chinese ministerie van Staatsveiligheid operaties zou uitvoeren.

De groep heeft het volgens de overheidsdiensten vooral voorzien op kwetsbare servers en andere netwerkapparaten. Om niet tijdens de aanvallen op te vallen maakt de groep voor de 'laatste hop' gebruik van gecompromitteerde SOHO-apparaten in het betreffende land. Veel van deze apparaten zijn end-of-life of niet door de beheerders gepatcht.

Door het onderzoeken van deze apparaten konden de diensten naar eigen zeggen de werkwijzen van de groep in kaart brengen. Zo worden twee gevallen beschreven van organisaties die door de groep werden gecompromitteerd. De initiële aanvalsvector zijn vaak net bekendgemaakte kwetsbaarheden in populaire software waar de groep een exploit voor heeft.

Zodra er toegang is verkregen wordt vaak een webshell geïnstalleerd, waarmee er toegang tot het apparaat wordt behouden. Bij één van de beschreven aanvallen maakte de groep gebruik van een 'plat' netwerk en onveilige intern ontwikkelde software waarmee het mogelijk was om willekeurige bestanden te uploaden. De aanvallers proberen ook inloggegevens te stelen waarmee ze verdere aanvallen kunnen uitvoeren.

Logging

Een groot probleem bij het onderzoek naar aangevallen organisaties is een gebrek aan logs, aldus het adviesrapport. Het gaat dan bijvoorbeeld om web server request logs, Windows event logs en internet proxy logs. Organisaties worden dan ook geadviseerd om logs centraal voor een langere periode op te slaan. Tevens worden patchmanagement, netwerksegmentatie, multifactorauthenticatie, het uitschakelen van onnodige en ongebruikte diensten, protocollen en poorten, het toepassen van 'least privileges en het vervangen van niet meer ondersteunde apparatuur aangeraden.

Reacties (10)
09-07-2024, 10:10 door Anoniem
Zo'n onderzoek kan je alleen maar doen als je zelf ook cyberspionage pleegt..
09-07-2024, 10:11 door Anoniem
En zoals gewoonlijk...China ontkend,next!?
09-07-2024, 10:13 door Anoniem
O.a. AbuseIPDB en Maltiverse, Greynoise.io en honeypot bad IP krijgen het gerapporteerd.
Maar wat gebeurt er vervolgens mee? Vingertjes wijzen naar elkander.

Het is de pot, die de ketel verwijt,
En om de smeer likt de kat de kandeleer.
09-07-2024, 11:05 door Anoniem
En dan te bedenken dat de computers van de AIVD volzitten met sleeperprogramma's van de Amerikaanse geheime dienst.
Deze zijn geïnstalleerd door werknemers van de NSA die "samenwerkten" met de AIVD.
Elk land bespioneert elk land, in meer of mindere mate, het is in het militaire belang.
China heeft haar eigen methode, Amerika eveneens, maar of het je "vrienden" zijn is wat van groot belang is, dan heb je meer directe toegang tot interne systemen dan wanneer je als vijand moet binnendringen.
Een heleboel tools die de NSA levert aan geheime diensten in andere landen hebben een goed verborgen achterdeurtje.
09-07-2024, 11:24 door Anoniem
En wij als burgers, zijn allemaal al lang "gebackdoored".

Niet, dan?
09-07-2024, 11:34 door Anoniem
Door Anoniem: En dan te bedenken dat de computers van de AIVD volzitten met sleeperprogramma's van de Amerikaanse geheime dienst.
Deze zijn geïnstalleerd door werknemers van de NSA die "samenwerkten" met de AIVD.
Elk land bespioneert elk land, in meer of mindere mate, het is in het militaire belang.
China heeft haar eigen methode, Amerika eveneens, maar of het je "vrienden" zijn is wat van groot belang is, dan heb je meer directe toegang tot interne systemen dan wanneer je als vijand moet binnendringen.
Een heleboel tools die de NSA levert aan geheime diensten in andere landen hebben een goed verborgen achterdeurtje.

Beetje simpele kijk op hoe onze inlichtingen diensten werken en samenwerken met andere inlichtingendiensten.
En waarom zou je denken dat de AIVD en MIVD niet hun eigen software schrijven en onderhouden?
09-07-2024, 11:39 door Anoniem
Kwetsbare SOHO routers zijn zo op te zoeken via een shodannetje van Chili tot Praag en Taiwan.
De SOHO router beveiliging is in de meeste gevallen al eerder gecompromitteerd en zo verder.

Vaak routers zonder voldoende encryptie en open voor XSS-kwetsbaarheden.
Geen WPA 2 en dus een gemakkelijke prooi voor de APT40 groep.
09-07-2024, 11:42 door Anoniem
Door Anoniem:
Een heleboel tools die de NSA levert aan geheime diensten in andere landen hebben een goed verborgen achterdeurtje.

Het zou zo leuk zijn als je die bewering kon onderbouwen . Uberhaupt trouwens of de NSA _tools_ levert, (en niet geschoonde resultaten ruilt ) .

Er is best een verschil tussen

"ik denk dat"
"als ik hun was zou ik dat doen"
"klinkt logisch"

en 'het WORDT gedaan' - en hier/daar is het bewijs.

Het zou best kunnen - maar meer bron dan een duim maakt het leuk.
09-07-2024, 11:49 door _R0N_
Ondertussen bespioneert de hele wereld elkaar en in het westen allemaal wijzen naar China, Rusland en Noord-Korea maar zelf zijn ze heilig natuurlijk.
09-07-2024, 12:55 door Anoniem
Door _R0N_: Ondertussen bespioneert de hele wereld elkaar en in het westen allemaal wijzen naar China, Rusland en Noord-Korea maar zelf zijn ze heilig natuurlijk.
Als je de link naar het advies volgt zie je een nuchtere beschrijving van wat ze geconstateerd hebben en advies voor het verminderen van risico's. Het leest meer als een constatering dan als een beschuldiging, dat laatste is hoe security.nl erover bericht.

Ik zie ze nergens claimen dat ze zelf heilig zijn. Dit is niet de pot die de ketel verwijt dat die zwart is, dit is de pot die erop wijst dat de ketel zwart is en aanbeveelt om daar rekening mee te houden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.