Chinese hackersgroepen bundelen krachten

Beveiligingsbedrijf FireEye maakt bekend twee cyberaanvallen te hebben opgespoord waarbij twee groepen hackers uit verschillende regio's in China nauw samenwerken. De samenwerking is volgens FireEye zorgwekkend, aangezien de hackers dankzij de samenwerking regionale en internationale aanvallen gerichter kunnen uitvoeren.

Dit schrijft FireEye in het rapport 'Operation Quantum Entanglement'. "De grootste zorg is dat deze twee onafhankelijke hackersgroepen lijken samen te werken, waardoor de dreiging die van de hackers uitgaat fors toeneemt", zegt Thoufique Haq, senior onderzoeker bij FireEye. "Het lijkt erop dat de groep bezig is een systeem op te zetten dat lijkt op een productielijn om gezamenlijke cyberaanvallen uit te kunnen tegen regionale en internationale doelwitten, waaronder de Verenigde Staten". FireEye stelt dat dit een grote stap is in de richting van massaproductie van cyberaanvallen.

Moafee en DragonOk

De eerste hackersgroep die FireEye heeft geïdentificeerd heet 'Moafee'. Deze groep opereert vanuit de Guangdong provincie in China. De hackers richten zich onder andere op militaire organisaties en overheden van landen die op nationaal niveau interesse hebben in de Zuid-Chinese Zee. Het gaat hierbij om andere om een industriële Amerikaanse defensiebasis. De tweede groep heet DragonOk en richt zich op zowel high-tech bedrijven als fabrikanten uit Japan en Taiwan. DragonOk lijkt actief te zijn vanuit de Chinese provincie Jiangsu.

Beide groepen maken volgens FireEye gebruik van vergelijkbare tools, technieken en procedures. Denk hierbij aan op maat gemaakte backdoors en remote administration tools (RAT's) om het netwerk van een doelwit binnen te dringen. De groepen zouden een voorkeur hebben voor spear-phishing e-mails als aanvalsmethode, waarbij zij doorgaans een malafide document inzetten om slachtoffers om de tuin te leiden. De e-mails die worden verzonden worden geschreven in de moedertaal van het doelwit.

HUC Packet Transmit Tool

Zowel Moafee als DragonOk zouden daarnaast gebruik maken van de bekende proxy tool HUC Packet Transmit Tool om hun geografische locatie te maskeren. Beide groepen zetten bestanden in die zijn beveiligd met wachtwoorden en bestanden van groot formaat om hun aanvallen te vermommen. De overeenkomsten tussen beide groepen zijn volgens FireEye dusdanig groot dat de hackers dezelfde training moeten hebben ontvangen, over dezelfde leveranciersketen voor toolkits moeten beschikken of hun aanvalscampagnes gezamenlijk moeten coördineren. Er zou dus sprake zijn van een nauwe samenwerking.

FireEye vermoedt overigens dat ook een derde Chinese hackersgroep nauw met Moafee en DragonOk samenwerkt. Ook deze groep maakt gebruik van dezelfde tools, technieken en procedures. Onderzoekers van FireEye hebben echter niet voldoende bewijs kunnen vinden om het verband tussen deze groep en zowel Moafee als DragonOk aan te tonen.