Twaalf landen waarschuwen voor Chinese hackernetwerken in consumentenapparatuur

China bouwt verborgen hackernetwerken via consumentenapparatuur

Twaalf westerse overheden en cyberbeveiligingsinstanties waarschuwen donderdag voor een grootschalige verschuiving in de tactieken van Chinese hackers. In plaats van individuele aanvallen uit te voeren, bouwen zij nu ondergrondse netwerken op basis van alledaagse apparaten zoals routers, IoT-toestellen en slimme apparatuur.

Hoe de netwerken werken

Volgens het gezamenlijke advies van onder meer de Amerikaanse CISA, FBI, NSA en het Britse NCSC, alsook diensten uit Australië, Canada, Duitsland, Nederland, Nieuw-Zeeland, Japan, Spanje en Zweden, worden deze netwerken constant bijgewerkt en gedeeld tussen verschillende hackergroepen. Een enkel netwerk kan door meerdere actoren worden gebruikt voor uiteenlopende doeleinden.

De netwerken dienen als goedkope, risicovolle en moeilijk traceerbare communicatielijnen voor cybercriminelen. Ze maskeren de herkomst van aanvallen en maken het lastiger om de daders te achterhalen. Chinese cybersecuritybedrijven spelen een sleutelrol bij het opzetten en onderhouden van deze infrastructuur, aldus de inlichtingendiensten.

Doel: spionage en sabotage

De hackernetwerken worden ingezet voor:

• Verkenning: het in kaart brengen van doelwitten zoals kritieke infrastructuur;
• Malwareverspreiding: het infecteren van systemen met schadelijke software;
• Datadiefstal: het stelen van gevoelige informatie.

Voorbeelden van actieve groepen zijn Volt Typhoon, die zich richt op Amerikaanse kritieke infrastructuur, en Flax Typhoon, die zich bezighoudt met cyberespionage. Een bekend voorbeeld is het Raptor Train-botnet, dat wereldwijd 200.000 apparaten infecteerde.

Oproep tot actie: betere beveiliging noodzakelijk

De netwerken zijn moeilijk te detecteren en vereisen geavanceerde verdedigingsstrategieën. Het gezamenlijke advies benadrukt het belang van:

• Actieve opsporing: het monitoren en in kaart brengen van verdachte netwerken;
• Bedreigingsinformatie: het delen van data tussen organisaties om bloklijsten te creëren;
• Samenwerking: het versterken van internationale samenwerking om aanvallen te voorkomen.

Nick Andersen, waarnemend directeur van CISA, zegt:

"Samen met internationale partners blijven we Chinese staatsgesponsorde cyberactoren identificeren en waarschuwen die kritieke infrastructuur bedreigen. Dit advies informeert organisaties over hoe deze actoren strategisch gebruikmaken van talloze, evoluerende verborgen netwerken voor kwaadaardige cyberactiviteiten."

Richard Horne, CEO van het Britse NCSC, voegt toe:

"We weten dat de Chinese inlichtingen- en militaire cyberoperaties een verbazingwekkend hoog niveau van verfijning hebben bereikt."

Wat kunnen organisaties doen?

Hoewel er geen eenvoudige oplossing is, benadrukken de experts het belang van basisbeveiligingsmaatregelen zoals:

• Regelmatige updates van firmware en software;
• Het uitschakelen van ongebruikte poorten en diensten;
• Het implementeren van netwerksegmentatie;
• Het monitoren van ongebruikelijke netwerkactiviteit;
• Het trainen van medewerkers in herkenning van phishing en sociale manipulatie.

Voor grote organisaties met een hoog risico wordt actieve opsporing aangeraden, waarbij verdachte netwerken worden gevolgd en geblokkeerd op basis van bedreigingsinformatie.