Vorige maand werd door het Nederlandse beveiligingsbedrijf Fox-IT een uitgebreid rapport gepubliceerd over een groep hackers met de exotische naam ‘Mofang’. Onder hun slachtoffers vinden we verschillende overheidsdiensten en zelfs bedrijven uit de wapenindustrie. Dat het om digitale spionage gaat, is wel zeker. Ook over de nationaliteit van de hackers bestaat weinig twijfel: Chinezen!
Op basis van enkele Chinese termen in de sporen die de hackers niet hadden gewist, en op basis van het opvallend hoge aantal organisaties in Myanmar onder de slachtoffers, kunnen we vrij zeker zijn dat hier Chinese hackers achter verscholen zitten.
Voor wie er precies wordt gespioneerd, is minder duidelijk. Dat de aanvallen vooral op overheids- en militaire doelwitten gericht zijn, lijkt te wijzen op spionage namens de Chinese overheid. Maar de slordigheid waarmee de hackers te werk gingen, doet hier weer enige twijfel over rijzen. We moeten hier dus voorlopig het voordeel van de twijfel toekennen. Zeker als je bedenkt dat informatie en hulpmiddelen om zelf een geavanceerde aanval uit te voeren, niet eens zo moeilijk te verkrijgen zijn. Met een beetje geld en wat doorzettingsvermogen krijg je zo’n cyberaanval wel uitgevoerd.
Het begint met een mailtje
Waar we echter wel behoorlijk zeker over zijn, is de werkwijze: die bleek namelijk steeds dezelfde. Het begint met een eenvoudige phishing mail, met een bijlage die de medewerker niets vermoedend opent. Daarmee krijgen de hackers toegang tot het bedrijfsnetwerk, en kunnen ze op zoek naar bedrijfsinformatie. Die phishing mails gebeuren niet lukraak. Ze worden zeer gericht naar specifieke medewerkers van de organisatie gestuurd, daarom wordt dit ook meestal spearphishing genoemd. Er wordt ook de nodige aandacht besteed aan de inhoud en vorm van de mails, om ze zo overtuigend mogelijk te laten lijken voor de slachtoffers.
Omdat zulke spearphishing mails vaak gebruik maken van persoonlijke informatie, zijn ze veel moeilijker te onderscheiden van gewone phishing of spam mails. Het is dus ook veel minder evident om zulke aanvallen te voorkomen door bewustmaking van de medewerkers. Als een mail afkomstig lijkt van een collega of vertrouwenspersoon, is de kans al veel groter dat je zulke bijlages opent. De menselijke factor blijft de zwakste schakel, hoe vaak je ook informeert en hoe hard je ook dreigt.
Voorkomen en inperken
Daarom kunnen we iedereen alleen maar aanraden om bescherming te voorzien voor fase 2, wanneer de hackers al het netwerk zijn binnengedrongen en op zoek gaan naar informatie. Een opdelen van het netwerk, en dus ook van de bedrijfsinformatie, in vele compartimenten is één optie. Een ander verdedigingswapen is een monitoring systeem, dat het bedrijfsnetwerk voortdurend naspeurt op zoek naar afwijkende en dus verdachte activiteiten.
Digitale spionage zal niet meer verdwijnen. En de hackers zullen lang niet altijd kunnen worden tegengehouden. Het is dus zaak om niet alleen de aanvallen zo goed mogelijk af te weren, maar ook de gevolgen van een gelukte aanval zo veel mogelijk in te perken. Dat hebben deze voorlopig onbekende Chinezen in elk geval nogmaals bewezen.