Nederlands bedrijf doelwit van Chinese hackersgroep

Een Chinese hackersgroep valt buitenlandse bedrijven aan. Tenminste één Nederlands bedrijf is door de groep getroffen. De groep ondersteunt de belangen van de Chinese overheid en richten zich onder meer op spionage.

Dit meldt beveiligingsbedrijf Fox-IT. De aanvalscampagne van de hackersgroep wordt door Fox-IT 'Operation Wocao' genoemd. Fox-IT stelt met enige zekerheid te hebben vastgesteld dat de aanvallers dezelfde tools, technieken en procedures gebruiken als de hackersgroep APT20.

In ruim tien landen slachtoffers

De groep heeft in meer dan tien landen slachtoffers gemaakt. het gaat hierbij onder meer om overheidsinstanties, managed service providers en bedrijven in een groot aantal andere sectoren waaronder de energiesector, zorgsector en high-tech industrie. In de meeste gevallen breken de aanvallers in op legitieme communicatiekanalen om toegang te krijgen tot bedrijven. Denk hierbij aan een VPN-netwerk. Ook wijst Fox-IT erop dat de groep soft tokens voor twee-factor authentificatie misbruikt.

Eenmaal binnen zorgen de aanvallers in veel gevallen voor meerdere ingangen. Indien één van deze ingangen wordt ontdekt en geblokkeerd, hebben de aanvallers hierdoor alternatieve ingangen beschikbaar om toch toegang te houden tot het bedrijf. Zij verspreiden zich over het bedrijfsnetwerk en zoeken actief naar gebruikersaccounts met beheerdersrechten. Op deze systemen vallen de aanvallers onder meer password managers aan, met als doel inloggegevens van systemen in handen te krijgen.

Sporen worden actief gewist

Om detectie te voorkomen verwijdert de groep actief sporen die zij achterlaten, wat het voor onderzoekers moeilijker maakt de stappen van de aanvallers in kaart te brengen. Dit helpt de groep volgens Fox-IT met succes data te stelen, systemen te saboteren, toegang te verkrijgen tot systemen en via deze systemen toegang te krijgen tot andere doelwitten. Meer informatie over de aanvalscampagne en hackersgroep is hier te vinden.