Westerse landen beschuldigen Chinese overheid van cyberspionage
Amerikaanse, Australische, Britse, Canadese, Duitse, Japanse, Nieuw-Zeelandse en Zuid-Koreaanse overheidsdiensten beschuldigden de Chinese overheid in een nieuw adviesrapport van cyberspionage. In het document wordt de werkwijzen beschreven van een spionagegroep aangeduid als APT40, die in opdracht van het Chinese ministerie van Staatsveiligheid operaties zou uitvoeren.
De groep heeft het volgens de overheidsdiensten vooral voorzien op kwetsbare servers en andere netwerkapparaten. Om niet tijdens de aanvallen op te vallen maakt de groep voor de 'laatste hop' gebruik van gecompromitteerde SOHO-apparaten in het betreffende land. Veel van deze apparaten zijn end-of-life of niet door de beheerders gepatcht.
Door het onderzoeken van deze apparaten konden de diensten naar eigen zeggen de werkwijzen van de groep in kaart brengen. Zo worden twee gevallen beschreven van organisaties die door de groep werden gecompromitteerd. De initiële aanvalsvector zijn vaak net bekendgemaakte kwetsbaarheden in populaire software waar de groep een exploit voor heeft.
Zodra er toegang is verkregen wordt vaak een webshell geïnstalleerd, waarmee er toegang tot het apparaat wordt behouden. Bij één van de beschreven aanvallen maakte de groep gebruik van een 'plat' netwerk en onveilige intern ontwikkelde software waarmee het mogelijk was om willekeurige bestanden te uploaden. De aanvallers proberen ook inloggegevens te stelen waarmee ze verdere aanvallen kunnen uitvoeren.
Logging
Een groot probleem bij het onderzoek naar aangevallen organisaties is een gebrek aan logs, aldus het adviesrapport. Het gaat dan bijvoorbeeld om web server request logs, Windows event logs en internet proxy logs. Organisaties worden dan ook geadviseerd om logs centraal voor een langere periode op te slaan. Tevens worden patchmanagement, netwerksegmentatie, multifactorauthenticatie, het uitschakelen van onnodige en ongebruikte diensten, protocollen en poorten, het toepassen van 'least privileges en het vervangen van niet meer ondersteunde apparatuur aangeraden.Maar wat gebeurt er vervolgens mee? Vingertjes wijzen naar elkander.
Het is de pot, die de ketel verwijt,
En om de smeer likt de kat de kandeleer.
Deze zijn geïnstalleerd door werknemers van de NSA die "samenwerkten" met de AIVD.
Elk land bespioneert elk land, in meer of mindere mate, het is in het militaire belang.
China heeft haar eigen methode, Amerika eveneens, maar of het je "vrienden" zijn is wat van groot belang is, dan heb je meer directe toegang tot interne systemen dan wanneer je als vijand moet binnendringen.
Een heleboel tools die de NSA levert aan geheime diensten in andere landen hebben een goed verborgen achterdeurtje.
Niet, dan?
Deze zijn geïnstalleerd door werknemers van de NSA die "samenwerkten" met de AIVD.
Elk land bespioneert elk land, in meer of mindere mate, het is in het militaire belang.
China heeft haar eigen methode, Amerika eveneens, maar of het je "vrienden" zijn is wat van groot belang is, dan heb je meer directe toegang tot interne systemen dan wanneer je als vijand moet binnendringen.
Een heleboel tools die de NSA levert aan geheime diensten in andere landen hebben een goed verborgen achterdeurtje.
Beetje simpele kijk op hoe onze inlichtingen diensten werken en samenwerken met andere inlichtingendiensten.
En waarom zou je denken dat de AIVD en MIVD niet hun eigen software schrijven en onderhouden?
De SOHO router beveiliging is in de meeste gevallen al eerder gecompromitteerd en zo verder.
Vaak routers zonder voldoende encryptie en open voor XSS-kwetsbaarheden.
Geen WPA 2 en dus een gemakkelijke prooi voor de APT40 groep.
Een heleboel tools die de NSA levert aan geheime diensten in andere landen hebben een goed verborgen achterdeurtje.
Het zou zo leuk zijn als je die bewering kon onderbouwen . Uberhaupt trouwens of de NSA _tools_ levert, (en niet geschoonde resultaten ruilt ) .
Er is best een verschil tussen
"ik denk dat"
"als ik hun was zou ik dat doen"
"klinkt logisch"
en 'het WORDT gedaan' - en hier/daar is het bewijs.
Het zou best kunnen - maar meer bron dan een duim maakt het leuk.
Ik zie ze nergens claimen dat ze zelf heilig zijn. Dit is niet de pot die de ketel verwijt dat die zwart is, dit is de pot die erop wijst dat de ketel zwart is en aanbeveelt om daar rekening mee te houden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!