De Europese Unie en de Navo houden China verantwoordelijk voor een aanval van een bekende Chinese hackersgroep op het Tsjechische ministerie van Buitenlandse Zaken. Wie zit er achter de APT31-groep en wat doen deze hackers? Vijf vragen.
is buitenlandredacteur van de Volkskrant. Vlaskamp was 18 jaar correspondent in Beijing.
Wat hebben de hackers in Tsjechië uitgehaald?
De Tsjechische regering maakte woensdag bekend dat Chinese hackers, vermoedelijk van de APT31-groep, in 2022 een communicatiesysteem van het ministerie van Buitenlandse Zaken zijn binnengedrongen. Vervolgens probeerden de hackers zich toegang te verschaffen tot ‘kritieke infrastructuur’. De Tsjechen zeggen niet welke infrastructuur en of de Chinezen schade hebben aangericht. Wel is het gecompromitteerde mailsysteem vervangen, maar pas nadat APT31 zich meester had gemaakt van duizenden emails, zoals niet-vertrouwelijke communicatie tussen ambassades en organisaties van de Europese Unie.
Wat is APT31?
Westerse inlichtingendiensten gebruiken de term Advanced Persistent Threat (APT) voor hackersgroepen met banden met buitenlandse overheden. APT31 zou worden aangestuurd door de provinciale tak van het ministerie van Staatsveiligheid (MSS) in de midden-Chinese provincie Hubei.
Per provincie verschilt de aanpak. In Hubei wordt gewerkt met front-organisaties in de vorm van techbedrijven die geen economische activiteit ontplooien, maar slechts bestaan om de operaties van hackers te verhullen.
In provincies met een goed ontwikkelde IT-sector wordt hackwerk uitbesteed aan gewone techbedrijven. In andere gebieden koopt MSS interessante data van hackende freelancers, die ook klussen doen voor het reguliere bedrijfsleven en cybercriminelen.
APT31, door cyberspecialisten ook Judgement Panda genoemd, staat niet bekend om technisch hoogstaande cyberoperaties. Deze hackersgroep verricht het grove werk. Door jarenlang cyberaanvallen te doen met relatief eenvoudige methodes, zoals phishing-emails, komen de hackers in computersystemen van overheidsorganisaties, politici, journalisten, bedrijven en burgers. De gestolen data wordt door de staatsveiligheidsdienst gebruikt voor de selectie van doelwitten voor geavanceerdere hacks.
Volgens inlichtingendiensten is deze werkwijze typerend voor Chinese hackers: die zuigen zoveel mogelijk informatie op, terwijl Russen juist gericht te werk gaan.
Wat merkt een computergebruiker ervan?
Een APT 31 operatie begint met een mailtje, dat bijvoorbeeld afkomstig lijkt van een bekende journalist. Dit fenomeen heet spoofing. In de mail zitten hyperlinks die doen denken aan nieuwsorganisaties. Bijvoorbeeld usnews-today, dat lijkt op de krant USA Today. Wie erop klikt haalt ongemerkt malware binnen waarmee de hackers ingewikkeldere hacks uitvoeren om uiteindelijk toegang te krijgen tot computersystemen, routers en andere apparaten.
Ook het installeren van malware via per mail verstuurde zogenaamde updates voor bekende software, zoals virusscanner Mcafee en Adobe-programma’s voor beeldbewerking komt veel voor. Daar merkt een computergebruiker vrijwel niets van, behalve dat zijn computer misschien trager werkt.
Waar is APT 31 op uit?
Aanvankelijk viel APT31 westerse cyberspecialisten zo’n veertien jaar geleden op wegens ordinaire diefstal van vooral Amerikaanse bedrijfsgeheimen. Daarna dook de groep steeds vaker op bij politiek gemotiveerde cyberoperaties.
Bijvoorbeeld tijdens verkiezingen. Het campagneteam van voormalige Amerikaanse president Joe Biden had in mei 2020 last van spoofingmails, volgens de Amerikanen afkomstig van APT31. Dat was slechts een van de vele operaties in de Verenigde Staten.
Volgens een Amerikaanse aanklacht uit 2024 zijn er maar zeven vermeende werknemers van APT31 nodig om met ‘meer dan 10.000 emails’ vol malware ‘duizenden slachtoffers op verschillende continenten’ te maken.
Ook de Britten sloegen in 2024 alarm over een van de grootste hacks uit de Britse geschiedenis, waarbij APT31 tussen augustus 2021 en oktober 2022 binnendrong bij emailservers en kopieën van kieslijsten.
Een ander doelwit zijn critici van de Chinese staat, zoals dissidenten, activisten en buitenlandse politici. Zo bestookte APT31 in 2024 vierhonderd mailadressen van leden van de Interparliamentary Alliance on China (IPAC), een groep van China-kritische parlementariërs, met duizenden mails vol malware.
In 2018 kampten Noorse ambtenaren en een Noors softwarebedrijf met Chinese cyberinbraken, nadat Hongkongse activisten waren genomineerd voor de Nobelprijs. In 2021 maakte de Noorse regering bekend dat waarschijnlijk APT31 hierachter zat. Volgens Noorse cyberspecialisten werden er 1,2 gigabite aan data buitgemaakt.
Wat doen westerse regeringen als ze APT31 in hun systemen aantreffen?
Het duurt jaren om uit schaarse digitale sporen op te maken welke groep er achter een operatie zit. Hebben westerse regeringen eenmaal beet, dan gaan ze over tot naming and shaming, zoals Tsjechië woensdag deed. Namens de Tsjechen haalden ook de Europese Unie en de Navo fel uit naar Beijing.
‘Deze aanval is een onaanvaardbare schending van internationale normen,’ aldus EU-buitenlandchef Kaja Kallas. Secretaris-generaal Mark Rutte zei namens de Navo ‘bezorgd’ te zijn over ‘het toenemende patroon van schadelijke cyberactiviteiten vanuit China.’
De Chinese regering ontkent steevast iets te maken te hebben met hackers en zegt zelf slachtoffer van cybercriminelen te zijn.
In de meeste gevallen kunnen westerse regeringen niet veel meer doen dan Chinese hackers en hun methodes publiekelijk veroordelen, zodat individuen, bedrijven en overheden zich bewust worden van de manier waarop groepen als APT31 hun computersystemen binnensluipen.
Daarna worden de meeste zaken echter gesloten, omdat er vrijwel nooit bewijsmateriaal is om Chinese hackers daadwerkelijk te vervolgen. En al zou dat bewijs er wel zijn, dan zitten verdachten ongrijpbaar achter hun computer in China.
Luister hieronder naar onze podcast de Volkskrant Elke Dag. Kijk voor al onze podcasts op volkskrant.nl/podcasts.
Geselecteerd door de redactie
Source: Volkskrant