De Europese Unie en de Verenigde Staten zeggen dat Chinese staatshackers cyberaanvallen hebben uitgevoerd door misbruik te maken van kwetsbaarheden in Microsoft Exchange Server. Daarmee hebben ze de economie, democratie en samenleving ernstige schade toegebracht. Ze zeggen er alles aan te doen om samen met internationale partners ‘kwaadaardig gedrag in cyberspace’ te bestrijden.

Microsoft Exchange Server aanval

In maart maakte Microsoft bekend dat Microsoft Exchange Server vier gevaarlijke zero day exploits bevatte. Bedrijven en organisaties gebruiken Exchange Server om e-mails mee te versturen en te ontvangen. Daarnaast verwerkte Exchange Server e-mails met bijlages en lijsten met contactpersonen. Een groot aantal ondernemingen en instanties bewaren op deze servers uiteenlopende concurrentiegevoelige informatie.

De aangetroffen kwetsbaarheden werden actief misbruikt door hackers en cybercriminelen om vertrouwelijke informatie buit te maken. Daarnaast konden ze hierdoor een zogeheten backdoor aanbrengen, zodat ze te allen tijde toegang hadden tot de interne computersystemen van hun slachtoffers. Ze konden dan niet alleen op ieder gewenst moment bedrijfs- en privacygevoelige data stelen, maar ook gijzelsoftware of andere malware installeren en bedrijfsspionage begaan.

Veel systeembeheerders wisten de lekken in Exchange Server op eigen kracht te herstellen. Begin maart rolde Microsoft een beveiligingsupdate uit om de zero days mee te dichten. Voor velen was dat een uitkomst, maar voor sommigen kwam deze oplossing te laat. Tienduizenden organisaties wereldwijd waren de dupe van gewetenloze hackers, waaronder tientallen Nederlandse bedrijven.

Chinese staatshackers HAFNIUM

Uit onderzoek van Microsoft bleek dat Chinese staatshackers de zero day exploits actief misbruikten om slachtoffers te maken. Volgens het Amerikaanse hard- en softwarebedrijf was HAFNIUM hiervoor verantwoordelijk.

Voor het eerst sinds het uitbreken van de aanvallen zegt een internationale coalitie dat de Volksrepubliek China verantwoordelijk is voor het ‘onverantwoorde en destabiliserende gedrag in cyberspace’. Dat heeft een aanzienlijke impact gehad op de veiligheid, economie, democratie en gemeenschap in zijn algemeen van de VS, EU, het Verenigd Koninkrijk, de VN en NAVO en andere internationale partners, waaronder Canada, Australië, Nieuw-Zeeland en Japan.

Reactie EU

“De compromittering en exploitatie van de Microsoft Exchange Server ondermijnde de veiligheid en integriteit van duizenden computers en netwerken wereldwijd”, zo schrijft de EU in een persverklaring. Sommige aanvallen waren gericht tegen overheidsinstellingen en politieke organisaties in de EU-lidstaten, alsmede tegen belangrijke Europese industrieën. Volgens de EU zijn de aanvallen uitgevoerd door de hackersgroepen APT40 en APT31 en terug te leiden naar het vasteland van China. Het doel was om zoveel mogelijk intellectuele eigendommen en bedrijfsgeheimen te stelen en spionage te plegen.

De EU zegt dat ze er bij China op blijft aandringen dat ze niet toestaat ‘dat hun grondgebied voor kwaadwillige cyberactiviteiten wordt gebruikt’. Verder belooft ze ‘passende maatregelen’ te nemen en alle beschikbare middelen te zetten om de daders op te sporen en aan te pakken. “Wij zullen onze samenwerking blijven verbeteren, ook met internationale partners en andere publieke en private belanghebbenden, door meer informatie uit te wisselen en diplomatieke contacten te blijven onderhouden, door de samenwerking op het gebied van cyberbestendigheid en incidentenafhandeling te versterken, alsmede door gezamenlijke inspanningen te leveren om de algehele beveiliging van software en de toeleveringsketens ervan te verbeteren.”

The White House

De Amerikaanse overheid slaat een hardere toon aan. Volgens het Witte Huis huurt China criminele hackers in om wereldwijd cyberaanvallen uit te voeren. De hackers zijn in dienst van het Chinese ministerie van Staatsveiligheid en hebben in deze hoedanigheid ransomware-aanvallen uitgevoerd en zich schuldig gemaakt aan cryptojacking en afpersingspraktijken. En dat allemaal voor eigen financieel gewin.

“De onwil van de Volksrepubliek China om criminele activiteiten van contracthackers aan te pakken, schaadt overheden, bedrijven en beheerders van kritieke infrastructuur door miljarden dollars aan verloren intellectuele eigendom, eigendomsinformatie, losgeldbetalingen en schadebeperkende inspanningen”, benadrukt president Biden. De afgelopen maanden heeft hij er alles aan gedaan om Chinese hackers uit publieke en private netwerken te verwijderen en zoveel mogelijk kwetsbaarheden te dichten. Tevens heeft de regering non-stop gewerkt om de nationale cybersecurity te naar een hoger niveau te tillen, in het bijzonder de vitale infrastructuur. Daarmee gaat ze de komende tijd door.

Om daad bij woord te voegen klaagt het ministerie van Justitie vier hackers aan die naar eigen zeggen nauwe banden hebben met het Chinese ministerie van Staatsveiligheid. Jarenlang zouden ze sleutelinstanties en -bedrijven hebben proberen te hacken, onder meer bij de luchtvaart, mariene, leger en de onderwijs- en zorgsector.

Het is niet de eerste keer dat president Biden harde taal uitslaat richting China en Chinese staatshackers. Volgens ingewijden zei de president in maart dat hij nog een appeltje te schillen had met het communistische regime. Naar verluidt werkte de president aan een reeks digitale vergeldingsacties. Om de tegenaanvallen te coördineren zou hij een speciale taskforce hebben ingesteld. Onder meer de FBI en Cybersecurity and Infrastructure Security Agency (CISA) maken onderdeel uit van deze werkgroep.

Bron: whitehouse.gov, europa.eu, vpngids.nl

Meer info over Cybercrime

Tips of verdachte activiteiten gezien? Meld het hier.

Cybercrime gerelateerde berichten