Delfts bedrijf ontdekt dat China Birma bespioneert

Met verborgen bestanden bij mails lukt het China te spioneren in Birma. Dat is economisch profijtelijk. Nederlanders kijken mee.

Het Delftse Fox It houdt zich bezig met wereldwijde cyberbeveiliging.Beeld anp

Als U Myint Thein in mei van dit jaar zijn computer aan doet, ziet hij een mail van een onbekende afzender. Een begeleidend Word-document instrueert hem in het Engels om de bijlagen te openen en op zijn bureaublad te plaatsen. Myint Thein - kort donker haar, bril en van middelbare leeftijd - is een invloedrijke man in Birma, het land tussen de grootmachten China en India. Lang kende Birma een militair bestuur, maar sinds een aantal jaar zet het beheerst de eerste stappen richting een democratie. In 2011 werd de eerste civiele president in vijftig jaar gekozen. Afgelopen zondag konden Birmezen na 25 jaar weer naar de stembus om hun parlement te kiezen.

Myint Thein staat aan het hoofd van een economisch agentschap in het westen van het land. Zijn organisatie begeleidt buitenlandse investeringen in de Kyaukpyu-regio die economische groei moeten aanwakkeren. In 2014 gunde Myint Thein een opdracht voor advies aan zijn agentschap aan het Singaporese bedrijf CPG. Als hij de mail een jaar later ontvangt, bestaat er een zekere onenigheid over de uitvoering daarvan.

Verborgen programma's

Wat Myint Thein niet ziet, is dat de bestanden bij de mail verborgen programma's bevatten. Hij activeert die onbewust door ze naar zijn bureaublad te verplaatsen. Eén daarvan misbruikt een component van de anti-virussoftware van McAfee en installeert spionagevirus 'PlugX' op zijn computer. Het component van McAfee wordt ook misbruikt om volledige rechten op de computer te krijgen: het slachtoffer krijgt een waarschuwing van Windows te zien waarin McAfee te zien is, een bekende naam waardoor de melding legitiem lijkt.

Myint Thein is niet het enige slachtoffer van de aanvallers. Een paar maanden nadat ze hem hebben geïnfecteerd, slaan ze opnieuw toe. Nu bij het Singaporese bedrijf dat de aanbesteding won. De tegenstanders gaan minutieus en geavanceerd te werk. Om geen argwaan te wekken, wordt de besmette software op domeinen geplaatst die lijken op de echte domeinnamen van het bedrijf. In dezelfde tijd raakt een Birmese overheidsserver besmet. Ook de website van de nationale luchtvaartmaatschappij van Birma wordt misbruikt voor een aanval.

Chinese en Birmese vlagBeeld anp

Cruciale plekken

De aanvallers blijken op cruciale plekken in Birma toe te slaan. Maar wie zijn het? Een incident in maart van 2015 geeft meer aanwijzingen. Bij Birmese bombardementen nabij de grens met China komen vier Chinese burgers om het leven. Op de dag van het incident krijgen verschillende overheidsmedewerkers een mail. De tekst is een Engelse beschrijving van de Chinese reactie op het incident. Door op een link in één van de bestanden te drukken installeert de gebruiker onbedoeld het 'PlugX'-spionagevirus.

De malware die in Birmese systemen zit, is gevonden door Fox-IT, een beveiligingsbedrijf uit Delft. Onderzoeker Yonathan Klijnsma stuitte een paar maanden geleden op sporen van merkwaardige software, ging na waar die nog meer gebruikt was en legde zo de infiltratie in Birmese systemen bloot. Klijnsma: 'Mijn functie is het ontdekken van nieuwe, onbekende malware.' Hij volgde zijn nieuwsgierigheid en ontdekte dat de eerste sporen van deze nieuwe malware, naast het 'Plugx'-spionagevirus, uit 2012 stammen. In 2013 werd het voor het eerst gebruikt tegen bezoekers van een wapenbeurs in India. Daar kwamen ook veel personen uit Birma. Via mail ontvingen ze een Excel-bestand dat voor exposanten van de beurs bedoeld leek. Wie op de PDF-file in het bestand drukte, werd besmet. Volgens Klijnsma is de infiltratie onmiskenbaar 'spionage' en is het duidelijk waar de aanvallers vandaan komen: China. 'De malware is ingezet door twee groepen die gelieerd zijn aan de Chinese overheid', zegt hij.

Grote belangen

Dat verklaart ook de aanval op Myint Thein. In de economische regio waar hij voorzitter is, heeft China grote belangen. Uit dit gebied halen de Chinezen via een gigantische pijplijn van 800 kilometer ruwe olie naar China. Zo omzeilen ze een complexe en kostbare route over water door de Amerikaans gecontroleerde Straat van Malakka. In 2013 vertelde Myint Thein aan de Financial Times (FT) dat de plannen met de economische zone voor 250 duizend banen zouden zorgen. Maar, waarschuwde hij ook, we moeten voorzichtig te werk gaan en de deur naar buitenlandse inmenging voorzichtig openzetten. Het is belangrijk om de lokale bevolking niet te vergeten, aldus Myint Thein tegen FT.

Klijnsma gelooft dat de Chinese malware nog steeds actief is. Een maand geleden is hij nog sporen van infiltratie tegengekomen. 'Door de aanvallen op een tijdlijn te zetten, bleek elke aanval samen te vallen met een belangrijke gebeurtenis in Birma.' De ontdekking zelf noemt hij niet uniek. 'Van alle kanten' ziet Fox-IT dit soort digitale aanvallen. Maar dat een Nederlands bedrijf mee kan kijken met Chinese spionageactiviteiten in Birma is 'bijzonder'. Klijnsma: 'We hebben geen klanten in Birma en toch konden we op afstand deze operaties blootleggen. Dat is het mooie aan dit onderzoek.'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden