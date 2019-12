Volgens Fox-IT is de aanval mogelijk uitgevoerd door een schimmige hackersgroep die APT20 wordt genoemd. De aanvallers waren al jaren actief. Hoeveel data ze precies hebben buitgemaakt, is niet na te gaan.

Namen van gedupeerde instanties noemt Fox-IT niet, wel de sectoren waarin ze actief zijn. Het gaat onder meer om luchtvaartondernemingen, bouwbedrijven, de energiesector, financiële instellingen, vervoerders en softwaremakers. De hoofdkantoren van de bedrijven staan onder meer in Duitsland, Frankrijk, de Verenigde Staten, Groot-Brittannië, Brazilië en Spanje. De hackers waren niet uit op geld maar op kennis waarvan waarschijnlijk de Chinese staat kan profiteren.

Code

De hackers gebruikten verschillende technieken om binnen te komen en binnen te blijven. Eén daarvan was nieuw: ze misbruikten een vorm van tweefactorauthenticatie. Sommige bedrijven hadden keurig ingesteld dat medewerkers bij het inloggen nog een toegestuurde code moesten invoeren, om misbruik te voorkomen. Juist dat systeem kon worden misbruikt. De hackers konden zelf de code aanmaken. Feitelijk konden ze zichzelf toestemming geven om in te loggen bij de slachtoffers.

Tijdens hun spionagewerk maakten de hackers een paar fouten, waardoor ze ’vingerafdrukken’ achterlieten. Zo had een van de aanvallers de eigen instellingen niet goed afgeschermd. De browser die de hacker gebruikte, stond ingesteld op de Chinese taal. Bij de registratie van een gehuurde server gaven ze een verzonnen Amerikaans adres op, maar daarbij schreven ze per ongeluk de naam van de staat Louisiana in Chinese karakters. Bovendien gebruikten de hackers een code die alleen op een Chinees forum te vinden was.

Chinese kantoortijden

Het begon Fox-IT na een tijdje ook op te vallen dat de hackers zich heel stipt aan Chinese kantoortijden hielden. „Wij wisten op een gegeven moment dat we om 3.00 uur ’s nachts aan het werk moesten, omdat ze toen daar begonnen”, zegt directeur Frank Groenewegen van Fox-IT.

De kers op de taart was de reactie van een van de cyberspionnen, die na een tijdje terugkwam bij een gedupeerde organisatie. Alle achterdeurtjes waren inmiddels gevonden en verwijderd, Fox-IT had de digitale inbraak ongedaan gemaakt. De hacker probeerde op de gebruikelijke manier binnen te komen, maar ontdekte dat hij voor een dichte deur stond. Geen enkele poging om in te loggen lukte. Gefrustreerd tikte hij vijf tekens in: wocao, Chinese straattaal voor ’shit’.