Wouter Hoeffnagel - 26 juni 2019

Acht grote IT-bedrijven getroffen door Chinese cyberspionage

Hewlett Packard Enterprise (HPE), IBM, Fujitsu, Tata Consultancy Service, NTT Data, Dimension Data, Computer Science Corporation en HPE's DXC Technology zijn doelwit geweest van cybercriminelen die bedrijfsgeheimen probeerden te stelen. De aanvallers opereerden in opdracht van China, stellen de Verenigde Staten en westerse bondgenoten.

Dit meldt persbureau Reuters op anonieme ingewijde bronnen. De omvangrijke cyberspionage kwam in december aan het licht toen de Verenigde Staten een aanklacht indiende tegen twee Chinese hackers, die lid zouden zijn van de beruchte hackersgroep APT10. Het tweetal zou betrokken zijn bij een cybercrimecampagne die 'Cloud Hopper' wordt genoemd.

Bedrijfsgeheimen

Cloud Hopper zou als doel hebben gehad bedrijfsgeheimen buit te maken bij tientallen westerse bedrijven en organisaties. Onder meer ruimtevaartorganisatie NASA en de Amerikaanse marine zouden doelwit zijn geweest. Reuters meldde toen dat de aanvallers in ieder geval bij HPE en IBM data hebben buitgemaakt. Nu meldt het persbureau dat ook Fujitsu, Tata Consultancy Service, NTT Data, Dimension Data, Computer Science Corporation en HPE's DXC Technology slachtoffer waren.

Reuters meldt ook tientallen klanten van deze bedrijven die getroffen zijn door de datadiefstal te hebben geïdentificeerd. Onder meer de Zweedse telecomgigant Ericsson, Amerikaanse scheepsbouwer Huntington Ingalls Industries en reserveringssysteem voor de reisbranche Sabre zouden getroffen zijn.

'Nachtmerrie'

Lavi Lazarovitz, Security Research Group Manager bij CyberArk, zegt in een toelichting: "Dit soort aanvallen behoren tot de meeste gevreesde; het is de nachtmerrie van zowel cloud-aanbieders als gebruikers. Klanten hebben geen zicht op een aanval vanuit de infrastructuur-zijde waar de cloud-aanbieder zit. Het is een totale verrassing, met alle gevolgen vandien."

"Een van de cruciale elementen in deze aanval is het punt tussen de cloud en het eigen netwerk, waarbij gebruik wordt gemaakt van jump servers. Dit is voor de aanvallers een kritiek punt op te bereiken. Dit is ook het punt waarop de betrokken organisaties de aanval hadden kunnen tegenhouden, of tenminste hadden kunnen opmerken. Bovendien is het het kantelpunt waarbij de aanvallers hun focus verschoven naar de klantsystemen en inloggegevens daarvan. Tot aan dit cruciale punt hebben de aanvallers vermoedelijk vrij spel gehad met de onbeperkte toegang die de cloud provider had tot de klantsystemen in de cloud."

"Zichtbaarheid is van cruciaal belang en tegelijkertijd zeer complex in een gedistribueerde omgeving, gelokaliseerd op verschillende plekken en sommige cloud-gebaseerd. Er zijn namelijk verschillende types van log- en audit-systemen nodig, en verschillende expertise om dit in goede banen te leiden. Veel SOC-teams zijn niet ervaren genoeg met het monitoren en identificeren van verdachte activiteiten als het in de eigen omgeving gebeurt. Daarom bleef deze aanval ook zo lang onopgemerkt. Maar dat had moeten veranderen op het moment dat ze het interne netwerk bereikten", aldus Lazarovitz.

Schneider Electric BN BW start week 27 tm week 29 Fujitsu BW DIL vierkant week 9 tm 12-2024
Netgear banner liggend start week 14