RECONSTRUCTIE

Bedrijfsgeheim? De Chinezen lezen mee

De zaak van een Duits-Nederlands defensiebedrijf geeft een zeldzaam inkijkje in de manier waarop Chinese hackers - en de overheid - gevoelige informatie aftappen.

Beeld Censuur

Sima Qian klikt op het rode icoontje met een witte W op zijn bureaublad, zoals hij elke dag doet na het opstarten van zijn computer. Na het openen van WPS Office begint hij te tikken aan een Engelstalig nieuwsbericht. Zijn Engels is goed, dankzij een goede vooropleiding. Nu werkt hij voor de overheid. Acht uur 's ochtends loopt hij het kantoor binnen, half zes drukt hij op 'afsluiten' en verlaat hij het pand.

Het is het voorjaar van 2012. In de zuidelijke Chinese provincie Guangdon zitten Sima en zijn collega's in dezelfde houding: handen op het toetsenbord, ogen naar het beeldscherm. Slimme mannen, een enkele vrouw, met kennis van programmeren. Zijn 'groep' bestaat uit ongeveer vijf man. Sima werkt aan een artikel over het Duitse bedrijf Rheinmetall. Hij weet dat het bedrijf, gespecialiseerd in het maken van carrosserieën voor pantservoertuigen, net is gaan samenwerken met een Nederlands bedrijf. Ze leveren onderdelen voor de Boxer, een pantserwielvoertuig. In Writer, de Chinese tegenhanger van Word, schrijft hij een kort stuk over de fusie en stuurt dit naar een collega.

In mei 2012 belandt het nieuwsbericht van Sima met één klik in de mailbox van sommige werknemers van Rheinmetall. Nu is het wachten tot iemand de bijlage bij de e-mail opent en het artikel van Sima wil lezen.

Inlichtingendiensten

Al jaren waarschuwen inlichtingendiensten AIVD en MIVD dat economische spionage fors toeneemt. Hackers uit Rusland, India, Brazilië, Iran en vooral China zouden gestructureerd Nederlandse systemen aanvallen op zoek naar informatie over specifieke technologieën.

Voor het eerst kunnen we nu meekijken, met dank aan een onderzoeker van het Delftse digitale beveiligingsbedrijf Fox-IT. Yonathan Klijnsma stuitte in het najaar van 2015 op sporen van onbekende software. Na bestudering kwam hij die op meerdere plekken tegen en begon hij naar meer te zoeken. Hij vond hem bij overheden en bedrijven in Verenigde Staten, in Myanmar en in India. Hij zag hem in Canada en in Duitsland. Langzaam begon hij de logica achter de aanvallen in te zien en wist hij de groep en hun werkwijze in kaart te brengen. Het geeft een zeldzame inkijk in hoe Chinese hackers precies werken.

Sima is een fictieve Chinese hacker, maar wat hij en zijn collega's doen is niet bedacht. Het staat nauwkeurig beschreven in het rapport dat Klijnsma maakte en dat hij vandaag presenteert in Zuid-Korea. Hij informeerde de getroffen bedrijven en alarmeerde opsporingsdiensten. Ook de Nederlandse politie en de inlichtingendienst AIVD kregen het rapport.

Nederlands defensiebedrijf gehackt door Chinezen

Het Nederlands-Duitse bedrijf Rheinmetall Defence is vanaf 2012 aangevallen door een groep Chinese hackers. Die hebben daarbij 'zeker' toegang gekregen tot technologische informatie van het bedrijf en hadden waarschijnlijk tot voor kort controle over het bedrijfsnetwerk. Dat bevestigen bronnen in de inlichtingenwereld aan de Volkskrant. Lees hier het nieuwsbericht.

Lomp

Schieten met hagel Het werk van Sima is niet zo verfijnd of doelgericht, hij werkt niet zoals zijn Russische of Franse collega's. Chinese hackers staan bekend als vrij lomp. Hij stuurt in mei 2012 meerdere mailtjes naar werknemers van het Duits-Nederlandse bedrijf. Het is als schieten met hagel. De medewerkers worden gepaaid door het Engelse bericht over de samenwerking tussen de bedrijven. Dat moet hen verleiden de bijlagen te openen, zoals een pdf-, Excel- of Wordbestand. In sommige bestanden blijkt na openen niets te staan, of alleen een willekeurige rij tekens.

Zeker één medewerker opent een bijlage. Op dat moment installeert een stukje malware genaamd ShimRatReporter zich. Dat verzamelt gegevens over het bedrijfsnetwerk en stuurt die terug naar de hackers. Het gaat om informatie over het lokale domein, instellingen voor de server die contact maakt met internet en reeds geïnstalleerde software.

Na deze stap volgen twee mogelijke vervolgstappen. Het programma stuurt het rapport naar Sima en downloadt onmiddellijk de malware ShimRat om de controle over de computer te krijgen. Of het programma stuurt het rapport met informatie over het bedrijfsnetwerk en verdwijnt dan weer. Om de aanval beter voor te bereiden.

Beeld REUTERS

Sleutelwoorden

Sima is binnen en zet nu valse infrastructuur op domeinen van het aangevallen bedrijf, zodat de malware zijn werk kan doen. Dit is het technisch knappe gedeelte van de aanval. De malware heeft Sima zelf geschreven. Om te voorkomen dat hij en zijn handlangers sporen achterlaten, staan alle taalinstellingen in het Engels.

Het duurde daardoor even alvorens Klijnsma wist dat de malware uit China komt. Hij moest tot diep in de kern ervan gaan om dat te ontdekken. Daar zag hij dat Sima Kantonees spreekt. In een vroege versie van de malware gebruikt hij twee Kantonese sleutelwoorden voor verzoeken en antwoorden: Yuok en Yerr.

De malware installeert zich vrijwel onzichtbaar en door misbruik te maken van antivirusprogramma's valt hij verder ook niet op bij de slachtoffers. De hackers blijken verschillende van die programma's succesvol misbruikt te hebben, zelfs die van gerenommeerde bedrijven als McAfee, Symantec en Norman. Feitelijk maken ze gebruik van een handigheidje: de malware verbergt zich achter de antivirusprogramma's om zichzelf te installeren. Voor gebruikers lijkt het alsof een antivirusprogramma zich updatet of dat die een operatie aan het uitvoeren is.

Een andere slimmigheid is dat de malware via websites communiceert die sprekend lijken op echte sites. Zo wekt men geen argwaan. Google en Microsoft zijn daarbij populair. Sima gebruikt domeinen als mail.upgoogle.com en support.outlook-microsoft.com, maar ook een valse pagina van The New York Times. In Myanmar misbruikte hij de officiële website van de nationale luchtvaartmaatschappij om malware te verspreiden. Door de jaren heen maakten de hackers vaker gebruik van gehackte overheidswebsites in Myanmar.

Verstoppen

Hackers richten zich volgens geheime diensten voornamelijk op de sectoren defensie, hightech, tuinbouw, chemie, energie en ruimte- en luchtvaart. Hoewel dit soort apocalyptische berichten veel in het nieuws komen, zijn ze weinig concreet. Hoe vaak zijn Nederlandse bedrijven precies doelwit? En welke? En in hoeverre lukt het buitenlandse hackers ook daadwerkelijk om kennis te ontfutselen? Inlichtingendiensten delen die informatie niet. En ook bedrijven doen dat zelden, waardoor er veel onduidelijkheid is over de omvang van het probleem en over de daders.

Sima heeft praktisch vrij spel. Hij kan zich achter meerdere identiteiten verstoppen door in willekeurige landen dataservers te huren. Zelden is een hack herleidbaar tot specifieke personen. Hoewel allang wordt vermoed dat de Chinezen een leger aan hackers runnen, werd dit tot vorig jaar categorisch ontkend door de Chinese overheid. Begin 2015 veranderde dat met een publicatie van het Chinese Bevrijdingsleger waarin voor het eerst openlijk werd gesproken over digitale spionage.

Hoe innig de groep van Sima met de Chinese overheid is verbonden, blijkt uit een aanval in 2014 in buurland Myanmar. In de oostelijke Kyaukpyu-regio zal een haven en een oliepijplijn komen, de aanleg hiervan begint al in 2012. China heeft er grote economische belangen bij. Dankzij de gigantische pijplijn van 800 kilometer omzeilen ze een complexe en kostbare olieroute door de Amerikaans gecontroleerde Straat van Malakka. Tijdens de investering van dit project door het Chinese staatsbedrijf CITIC Group verandert Myanmar. De inkomsten nemen toe dankzij buitenlandse investeerders en het land wil hier meer mee doen. De economische zone rond de haven en de plek voor de oliepijplijn worden anders ingericht. De overheid zoekt hiervoor een adviesbureau.

China doet mee met de openbare aanbesteding, maar tot verrassing van de Chinezen wint het Singaporese bedrijf CPG de bieding in 2013. Klijnsma ziet vervolgens een lange hackcampagne gericht tegen CPG beginnen in 2014. De uitkomst: het Singaporese bedrijf kiest er uiteindelijk tijdens het adviesproject voor om het Chinese staatsbedrijf CITIC Group de aanbesteding te laten uitvoeren.

Kopiëren

Het is gelukt. Sima is via het Duitse bedrijf binnengekomen en kan informatie van het bedrijfsnetwerk halen. Zo komt ook de technologische kennis van het Nederlandse bedrijf Rheinmetall in Ede binnen handbereik. Via de malware en via gehuurde servers haalt hij die informatie naar China.

Hoe vaak Sima zo kennis over technologie kopieert, weet Klijnsma niet. Wel dat het gebeurt: 'Ze hebben waarschijnlijk de infrastructuur van het bedrijf onder controle en hebben toegang gehad tot technische informatie.' De bedrijven hebben de indringers waarschijnlijk nooit opgemerkt.

Tussen 2012 en 2015 hebben Sima en zijn handlangers zeker 24 organisaties wereldwijd aangevallen. Daaronder een Canadees bedrijf gespecialiseerd in zonneceltechnologie. Sima werkt nog steeds met dezelfde malware. Klijnsma schat dat de groep beperkt in aantal is en fulltime hackaanvallen voorbereidt en uitvoert. Knap is het volgens hem niet wat Sima doet. 'Dit kan iedereen met een beetje programmeerkennis, het is geen technisch hoogstandje.'

Chinees hacken

In zes stappen

1 Chinese hackers sturen vanaf een vals e-mailadres een mail met een Engelstalig nieuwsbericht naar geselecteerde medewerkers van een bedrijf.

2 Het nieuwsbericht verleidt hen ertoe om ook op de bijlagen te klikken. In de bijlagen staan links naar een website met meer informatie. De website is een vertrouwde site die gehackt is.

3 Als het slachtoffer op de website komt, installeert het programma ShimRatReporter zich. Dit programma zoekt naar waardevolle informatie op de computer van het slachtoffer.

4 ShimRatReporter rapporteert terug naar de hackers. Die zetten vervolgens valse infrastructuur op door de antivirusprogramma's van het slachtoffer te manipuleren.

5 Vervolgens wordt de malware geïnstalleerd. Dit gebeurt wederom met een mail met een bijlage. De malware wordt geactiveerd door andere programma's te laten starten en op de achtergrond de malware te installeren.

6 Nu is het mogelijk om commando's te geven en via de malware informatie van de computer van het slachtoffer of het bedrijfsnetwerk te halen.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden