Fox-IT brengt activiteiten spionagegroep Mofang in kaart

Fox-IT publiceert een uitgebreid onderzoek naar de spionagegroep Mofang, een tot dusver onbekende groep die politiek gemotiveerde aanvallen uitvoert op organisaties in Myanmar en op organisaties wereldwijd met belangen in Myanmar. Mofang (模仿, Mófaňg, imiteren) opereert vanuit China en betrokkenheid van de Chinese overheid is zeer waarschijnlijk.

Krijn de Mik, hoofd van het Security Research Team van Fox-IT: “Ons Security Operations Center ziet de laatste tijd een intensivering van bedrijfsspionage, waarbij ook steeds vaker staten betrokken zijn. De scheidslijn tussen politiek gemotiveerde spionage en bedrijfsspionage is daardoor niet duidelijk. De activiteiten van Mofang zijn hier een goed voorbeeld van.”

Fox-IT heeft vastgesteld dat Mofang aanvallen heeft uitgevoerd op minimaal 20 organisaties in verschillende sectoren (overheid, defensie, kritieke infrastructuren, wapenindustrie, automobielindustrie) in diverse landen. Het vermoeden is dat Mofang een relevante bedreiging vormt voor iedere organisatie die in Myanmar investeert of op een andere manier politiek betrokken is.

“Onze ervaring is dat het soort aanvallen dat Mofang uitvoert een looptijd heeft van jaren en ongeveer de helft daarvan heeft succes. De impact van de geslaagde aanvallen is erg moeilijk te kwantificeren. De informatie die waarschijnlijk is buitgemaakt is slechts één van de factoren in de politieke besluitvorming,” zegt Krijn de Mik.

De groep maakt gebruik van specifieke tools (ShimRat en ShimRatReporter), waarvan de oorsprong is terug te voeren tot 2012. Mofang benut voor zover bekend geen exploits om een bron te infecteren, maar vertrouwt op social engineering. Het uiteindelijk doel is het vergaren van informatie die te maken heeft met, in een specifieke aanval, de (investerings)activiteiten in de speciale economische zones in Myanmar. Het Chinese staatsbedrijf China National Petroleum Corporation investeert al vele jaren in deze zones in verband met aan te leggen olie- en gaspijpleidingen.

Het rapport van Fox-IT gaat in op de motieven van Mofang en brengt in kaart hoe deze groep te werk gaat. Mofang heeft veel moeite gedaan om zo weinig mogelijk sporen achter te laten. Toch is een verdacht bestand voor Fox-IT aanleiding geweest om door te zoeken en is zo Mofang op het spoor gekomen. De waarschijnlijke Chinese connectie is ook een

relevante actor voor klanten van Fox-IT, zeker gezien het feit dat de groep ook in Europa aanvallen heeft uitgevoerd. De connectie met Myanmar was voor de onderzoekers eveneens interessant, aangezien er relatief weinig bekend is over het land dat zich momenteel in een overgangsfase van dictatuur naar democratie bevindt.

De betrokkenheid van een staat betekent dat het hoogst onwaarschijnlijk is dat zij door opsprongsinstanties voor de rechter worden gebracht. Ook het verhogen van de pakkans, wat bij gewone cybercriminaliteit kan helpen, heeft daardoor weinig invloed. Dat betekent dat de focus moet liggen op wat de organisaties zelf kunnen doen: bepalen of de aanvallers een relevante bedreiging vormen, vaststellen wat de consequenties zijn als bepaalde informatie in ongewenste handen terechtkomt en vooral de detectie van indringers goed regelen.

Voorafgaand aan publicatie is het rapport gedeeld met een aantal partijen (overheidsinstanties en commerciële partijen). Ook de getroffen bedrijven zijn (voor zover bekend) benaderd.