de beschuldiging van Beijing: een inbreuk op een jaar lang inbreuk op een jaar lang inbreuk op een grote, jaarlongbreuk op een grote, jaarlongbreuk in een grote, jaarlongbreuk. Volgens de gedetailleerd rapport van de Chinese cybersecurity-agentschappen , aanvallers hefboomwerking van juli 2023.
Deze eerste voetstoot was slechts het begin van een diepere infiltratie. Het rapport beweert dat de actoren hun controle over de e-mailserver hebben gebruikt om de centrale domeincontroller van het bedrijf te compromitteren-een kritische zet die hen effectief de sleutels van het hele netwerk gaf. Van daaruit hebben ze methodisch gedraaid naar meer dan 50 andere belangrijke interne apparaten, waardoor een brede en aanhoudende aanwezigheid wordt vastgesteld in de digitale infrastructuur van de aannemer. Om hun controle te behouden, hebben ze naar verluidt een aangepast wapen geïmplanteerd dat is ontworpen om een heimelijke Websocket-en SSH-tunnel te maken voor gegevensuitvoer.
CNCert zegt dat het uiteindelijke doel van deze uitgebreide operatie strategische gegevensdiefstal was. Chinese functionarissen beweren dat de aanvallers met succes de e-mails van 11 hogere personeelsleden hebben geëxfiltreerd, waaronder leidinggevenden op hoog niveau. De gestolen gegevens waren niet generiek; Naar verluidt bevatte het zeer gevoelige intellectuele eigendom, inclusief gedetailleerde ontwerpprogramma’s voor militaire producten en kernsysteemparameters, die een aanzienlijk nationaal veiligheidsverlies vertegenwoordigen.
Om hun activiteiten te maskeren, gebruikten de aanvallers geavanceerde ontwijkingstactieken die kenmerkend zijn voor een dreigingsacteur op staatsniveau. De operatie werd gerouteerd via een wereldwijd netwerk van jump-off punten, met IP-adressen in Duitsland, Finland, Zuid-Korea en Singapore om meer dan 40 verschillende aanvallen te lanceren. De malware zelf was zwaar bekroond om detectie door beveiligingssoftware te ontwijken en communicatie werd verborgen met behulp van meerlagen verkeersuitlopend en codering.
Het CNCERT-rapport beschreef ook een tweede, meer recente campagne die zich richtte op een Chinese communicatie en satelliet internetbedrijf tussen juli en november 2024. Injectiefout in het elektronische bestandssysteem van het bedrijf. Nadat ze het systeem hadden overtreden, implanteerden ze een op geheugen gebaseerde backdoor en een Trojan-paard om hun toegang te beveiligen.
Volgens CNCert voegden de aanvallers vervolgens hun kwaadaardige payload toe aan een filter in de Apache Tomcat-webserver van het bedrijf, waardoor ze kunnen communiceren met hun achterdoor door specifieke kwaadaardige verzoeken te verzenden. Deze methode stelde hen in staat om 300 apparaten binnen het netwerk binnen te vallen en te controleren. Door een duidelijke strategische intentie aan te tonen, werden de actoren waargenomen op zoek naar trefwoorden zoals”Militair Private Network”en”Core Network”om de meest waardevolle gevoelige gegevens van de gecompromitteerde machines te lokaliseren en te stelen.
De geopolitieke context: een escalerende cyclus van cyber-spionage
deze beschuldigingen niet in een vacatieke context. Ze vertegenwoordigen het nieuwste salvo in een langlopende en escalerend cyberconflict tussen Washington en Beijing, waar openbare toeschrijving een belangrijk geopolitiek wapen is geworden. Beide landen beschuldigen elkaar nu regelmatig en openlijk elkaar van door de staat gesponsorde spionage, met behulp van gedetailleerde technische rapporten om internationale verhalen te vormen en politieke druk uit te oefenen.
Al jaren heeft Washington de vinger gericht op Chinese door de staat gesponsorde groepen voor grote cyberintrusies. Dit omvat de enorme hack uit 2021 die tienduizenden Microsoft Exchange-servers wereldwijd in gevaar bracht, een incident Microsoft zelf toegeschreven aan Chinese acteurs. Meer recent werd een inbreuk uit 2023 die de e-mailaccounts van hoge Amerikaanse functionarissen in gevaar bracht, ook de schuld van Chinese staatsgebonden groepen.
hebben de VS en haar kerntechnologie-providers echter ook geconfronteerd met intensieve controle over hun eigen veiligheidshouding. Na de inbreuk op de e-mails van de ambtenaren van 2023 heeft de eigen Cyber Safety Review Board van de Amerikaanse regering een vernietigend rapport vrijgegeven. Het sloeg Microsoft dicht voor een”cascade van beveiligingsfouten”en een bedrijfscultuur die beveiligingsinvesteringen depioritiseerde, die uiteindelijk de inbraak mogelijk maakte. Het National Internet Emergency Center (CNCERT) van China heeft een aantal op de vermeende activiteit gezet en verklaarde dat het in 2024 alleen al meer dan 600 cyberaanvallen-incidenten tegen zijn belangrijke eenheden door buitenlandse apt-groepen op staatsniveau heeft gevolgd. Het bureau was duidelijk dat de verdediging en militaire industriële sector het primaire doelwit van deze operaties is.
Deze publieke zet volgt een patroon dat door Beijing is vastgesteld. Na een grote cyberaanval op de Noordwestelijke polytechnische universiteit werd in 2022 blootgesteld, China ook publicly attributed the campaign to the U.S. National Security Agency (NSA) . Door gedetailleerde rapporten met technische indicatoren vrij te geven, wil China zich positioneren als slachtoffer van westerse cyberagressie, waardoor het verhaal direct wordt uitgedaagd door de Verenigde Staten en zijn bondgenoten.
De ongecontroleerde slagveld: enterprise software als een nationaal veiligheidsrisico
De kern van deze conflictende globale bedreiging. Fouten in alomtegenwoordige bedrijfssoftware creëren een enorm aanvalsoppervlak voor staatsacteurs. Microsoft Exchange, een hoeksteen van zakelijke en overheidscommunicatie, is een terugkerend digitaal slagveld geworden.
Winbuzzer heeft eerder gemeld over de schaal van dit probleem. Een kritieke kwetsbaarheid die in het begin van 2024 werd bekendgemaakt, CVE-2024-21410, liet naar schatting 97.000 servers die worden blootgesteld aan aanvallen van externe code-uitvoering. Dergelijke fouten stellen aanvallers in staat om beveiliging te omzeilen en gegevens met relatief gemak te stelen.
Microsoft blijft patches en hotfixes vrijgeven om deze problemen aan te pakken. De vertraging tussen patch-release en bedrijfsbrede implementatie laat echter een kritisch venster voor hackers achter. Voor zowel de VS als China is het beveiligen van deze software-supply chain nu een kwestie van nationale veiligheid.
