Een Chinese hackersgroep heeft jarenlang zo’n veertig organisaties en bedrijven van over de hele wereld bespioneerd, blijkt uit onderzoek van het Nederlandse beveiligingsbedrijf Fox-IT. Ook Nederlandse kantoren werden getroffen.
Fox-IT noemt het “waarschijnlijk” dat de groep aan de Chinese overheid gelinkt is. De hackers zouden computers van hun slachtoffers binnendringen met als voornaamste doel om informatie buit te maken.
Het beveiligingsbedrijf maakt niet bekend welke organisaties en overheidstakken zijn getroffen. Doelwitten waren onder meer bouwbedrijven, energiebedrijven, financiële instellingen en de gezondheidszorg. “Het gaat ook om internationale bedrijven waarvan computers in Nederlandse kantoren zijn getroffen”, zegt Fox-IT-directeur Frank Groenewegen tegen NU.nl.
Fox-IT kwam de hackersgroep in de zomer van 2018 op het spoor. Het bedrijf ontdekte de groep nadat een eerder geplaatste technische val in een netwerk van een klant beet had.
“Het bleek een Chinese groep, merkten we onder meer aan hun browserinstellingen en de tijdzone waarin ze opereerden.” De Chinese hackers werkten tijdens Chinese kantoortijden. “We werden elke nacht om 3.00 uur wakker gebeld, omdat ze daar dan begonnen.”
Toegang via eerder geplaatste achterdeurtjes
Na het identificeren van de werkwijze werden ook andere slachtoffers gevonden, in onder meer Duitsland, Frankrijk, Spanje en de Verenigde Staten. Hackers kregen toegang tot systemen dankzij achterdeurtjes die door andere hackers al eerder op een kwetsbaar netwerk waren geplaatst. Vervolgens maakten ze hun eigen achterdeurtje en hackten ze van daaruit verder in het systeem.
De hackers stalen geen geld, maar waren uit op bedrijfsinformatie. “Het ging soms om directe concurrenten van China”, zegt Groenewegen. “Het land kan de informatie gebruiken om onafhankelijk te worden van de wereld.”
De slachtoffers zijn ingelicht en gewaarschuwd. Hen is geadviseerd zelf een onderzoek te starten. Fox-IT helpt in enkele gevallen de hackers uit het systeem te houden.
Mogelijk is de groep niet helemaal nieuw. Zo zou de groep overeenkomsten vertonen met de al eerder ontdekte APT20-groep. “Maar de collega’s die dat zeiden, dachten dat die groep al jaren niet meer actief was.”
