Chinese hackers breken Amerikaanse internetproviders binnen in geheime cyberspionageoperatie
In een snel evoluerende wereld waarin technologie een groot deel van ons dagelijks leven aanstuurt, groeit de onzichtbare dreiging van cyberespionage en niemand is immuun. Het laatste incident in deze voortdurende cyberstrijd heeft Chinese hackers in de schijnwerpers gezet die Amerikaanse internet service providers (ISP's) hebben geïnfiltreerd, waardoor de kwetsbaarheden zelfs binnen zwaar versterkte netwerken aan het licht zijn gekomen.
Deze campagne, volgens The Wall Street Journal , is gekoppeld aan een dreigingsgroep die Microsoft volgt als Salt Typhoon. Ook wel FamousSparrow of GhostEmperor genoemd, hebben deze hackers een geavanceerde aanval op een "handvol" ISP's georkestreerd in een poging om gevoelige informatie te verkrijgen. De belangrijkste doelen van dit soort campagnes zijn meestal kritieke infrastructuur, en dit geval is niet anders.
Table of Contents
De methoden van de hackers
Rapporten suggereren dat deze cybercriminelen mogelijk toegang hebben gehad tot het hart van de internetinfrastructuur: Cisco Systems-routers. Deze routers zijn verantwoordelijk voor het sturen van een aanzienlijk deel van het internetverkeer, waardoor ze een ideaal doelwit zijn voor door de staat gesponsorde hackers die permanente toegang tot gevoelige netwerken willen verkrijgen.
De groep achter deze aanval, GhostEmperor, verscheen voor het eerst in de cyberspotlight in oktober 2021. Het werd aanvankelijk geïdentificeerd door Kaspersky, een Russisch cybersecuritybedrijf, tijdens onderzoeken naar operaties gericht op landen in Zuidoost-Azië. Hun aanvallen omvatten het inzetten van een krachtige rootkit genaamd Demodex, waarmee ze ongemerkt spionage konden uitvoeren. Hun inspanningen hadden niet alleen gevolgen voor grote entiteiten in Maleisië, Vietnam en Thailand, maar ze bereikten ook verre doelen in plaatsen als Egypte en Ethiopië.
Fast forward naar juli 2024, cybersecuritybedrijf Sygnia ontdekte opnieuw een aanval van GhostEmperor. Deze keer werd een naamloze organisatie gecompromitteerd en via deze werd ook een van haar zakenpartners slachtoffer. Onderzoeken onthulden dat de groep verschillende tools had ingezet, waaronder een aangepaste versie van Demodex, om te communiceren met command-and-control-servers, wat hun technische bekwaamheid en vastberadenheid benadrukte.
Chinese cyberspionage is een voortdurende bedreiging
De onthulling van deze aanval kwam slechts enkele dagen nadat de Amerikaanse overheid een groot botnet van 260.000 apparaten, genaamd "Raptor Train", had verstoord. Dit botnet, beheerd door een andere aan China gelinkte groep, bekend als Flax Typhoon, is onderdeel van een reeks agressieve cybercampagnes die de afgelopen jaren aan China zijn toegeschreven.
Deze meedogenloze aanvallen onderstrepen het alomtegenwoordige gevaar dat door door de staat gesponsorde actoren wordt gevormd, met name die welke gelieerd zijn aan Beijing. Hun focus op het infiltreren van telecommunicatie, ISP's en andere kritieke infrastructuur dient als een herinnering aan hoe essentieel het is om cybersecurityverdedigingen in alle sectoren te versterken.
Persistentie en gegevensdiefstal
Wat deze cyberinbraken zo alarmerend maakt, is hun strategische aard. Het primaire doel van deze aanvallen is om op lange termijn heimelijk toegang te krijgen tot doelnetwerken. Eenmaal binnen kunnen aanvallers niet alleen gevoelige gegevens wegsluizen, maar zich ook positioneren om systemen te verstoren of te beschadigen wanneer dat nodig is. Of het doel nu spionage is of het vermogen om infrastructuur te verlammen in toekomstige conflicten, de gevolgen zijn enorm.
De focus op ISP's en telecomnetwerken verhoogt de inzet nog verder. Door verkeer op zo'n fundamenteel niveau te controleren of te onderscheppen, kunnen dreigingsactoren communicatie monitoren, services verstoren en waardevolle informatie extraheren zonder dat dit direct wordt gedetecteerd.
Hoe kunnen bedrijven zichzelf beschermen?
Hoewel geen enkele verdediging volledig waterdicht is, kunnen organisaties verschillende stappen ondernemen om het risico van dergelijke cyberespionagecampagnes te beperken:
- Continue bewaking: Door realtime bewaking te implementeren voor ongebruikelijke netwerkactiviteit, kunt u indringers vroegtijdig opsporen.
- Patchbeheer: Regelmatige updates en patches van systemen, met name van kritieke infrastructuurcomponenten zoals routers, zijn essentieel.
- Zero Trust-architectuur: Door over te stappen op een zero-trustmodel, waarbij gebruikers, apparaten en systemen voortdurend moeten worden geverifieerd, kan de toegang tot gevoelige gebieden worden beperkt.
- Samenwerking met experts op het gebied van cyberbeveiliging: Door samen te werken met externe beveiligingsspecialisten, zoals in het geval van Sygnia, kunnen geavanceerde bedreigingen worden ontdekt en aangepakt.
De bredere implicaties
Naarmate cyberoorlogvoering evolueert, gaat het niet langer alleen om datadiefstal. We zijn getuige van een wereldwijd schaakspel waarbij landen als China hun cybercapaciteiten inzetten om de weegschaal in hun voordeel te laten doorslaan. In dit nieuwe tijdperk is infrastructuur net zo'n doelwit als traditionele inlichtingendiensten of militaire middelen.
De laatste onthullingen over de GhostEmperor-groep en hun infiltratie van Amerikaanse ISP's zijn een harde herinnering aan hoe kwetsbaar zelfs de meest robuuste systemen kunnen zijn. Voor organisaties wereldwijd gaat het er niet alleen om een stap voor te blijven, maar ook om te begrijpen dat het cyberslagveld altijd evolueert en dat de vijanden dichterbij zijn dan we denken.
In deze nieuwe wereld zijn paraatheid en waakzaamheid de belangrijkste verdedigingsmechanismen die we tot onze beschikking hebben. Of het nu via overheidsacties of bedrijfsinitiatieven is, de strijd tegen door de staat gesponsorde cyberespionage is een strijd die constante innovatie, samenwerking en aandacht vereist.
