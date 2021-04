„Bellen via een open telefoonlijn, hoe dom kun je zijn?”, zegt de 34-jarige cyberbeveiliger die bedrijven helpt zich tegen hackers te beschermen. Hij wil pas praten over hackers in China als hij zeker weet dat het veilig is. Zelf is hij geen hacker, zegt hij, maar sommige van zijn beste vrienden zijn dat wel.

„Ik heb laatst nog met zo’n vriend gegeten”, zegt de man. Hij komt uit Zuid-China en hij houdt zijn naam angstvallig geheim. Die hacker verdient omgerekend zo’n 39.000 euro per maand, vertelt hij, een enorm inkomen. „De Chinese overheid en het leger plaatsen bestellingen bij hem. Ze weten precies wat ze hebben willen.”

Zijn verhaal is moeilijk te verifiëren. Ook of wat de man over zichzelf zegt klopt, en of hij inderdaad te goeder trouw is, is niet na te gaan. Maar zijn verhaal komt wel overeen met het beeld dat specialisten in cybersecurity geven van Chinese hackers. Ze werken in opdracht van de overheid en het leger. Soms zijn ze daar zelfs rechtstreeks in dienst, vaak ook hebben ze zelfstandige bedrijfjes.

Hoe goed Chinese hackers inmiddels zijn, bleek toen ze in januari mailservers binnendrongen van bedrijven en instellingen die gebruikmaken van Microsoft Exchange. Ze wisten beslag te leggen op complete mailboxen van gebruikers. Het ging om kwetsbaarheden in de software voordat Microsoft bekend had gemaakt dat die er waren.

Herstelprogramma’s

De schade bleef aanvankelijk beperkt, maar de aanvallen werden opeens veel grootschaliger en veelomvattender toen Microsoft eind februari op het punt stond herstelprogramma’s, zogeheten patches, uit te geven om de lekken in hun software te dichten. Vanaf toen probeerden de hackers alles te pakken wat ze konden. Ze installeerden achterdeurtjes, shells, in computersystemen. Via die shells kan in principe elke willekeurige andere hacker de computers ook binnendringen en malware of ransomware installeren.

De schade is groot. Een ambtenaar in de VS sprak begin maart al van zestigduizend getroffen instellingen wereldwijd. Daaronder ook de Europese Bankautoriteit, een toezichthoudend agentschap van de EU. Ook Nederlandse bedrijven hebben te maken met de hacks.

Microsoft schrijft de aanvallen toe aan de Hafnium-groep. Het bedrijf zegt dat Hafnium, een verzameling van ruim tien Chinese hackersgroepen, „beschouwd moet worden als door de staat aangestuurd en opererend vanuit China.”

Het Chinese ministerie van Buitenlandse Zaken ontkent zulke beschuldigingen per definitie. Een woordvoerder van het ministerie zei naar aanleiding van de aanval dat China „fel tegen cyberaanvallen en cyberdiefstal is, en er in alle gevallen tegen optreedt.” Ook zei hij dat moeilijk te bewijzen is wie er nu precies achter cyberaanvallen zit: mensen moeten niet zomaar naar de Chinese overheid wijzen.

De realiteit lijkt een andere: zolang Chinese hackers zich alleen op het buitenland richten, laat de overheid ze ongemoeid. En als ze opdrachten voor de overheid uitvoeren, levert dat ze niet alleen geld op, maar ook privileges - heel handig in de Chinese samenleving. „Als je stomdronken achter het stuur zit, mag je je rijbewijs toch gewoon houden”, zegt de man uit Zuid-China. „En als je een nummerplaat wilt voor een auto in Beijing, iets waar je normaal heel lang op moet wachten, dan krijg jij voorrang”, licht hij toe.

„Aan Chinese bedrijven durft een hacker zijn vingers niet te branden”, zegt de man. „Daarvoor word je namelijk wel gestraft, en hard ook. De meeste grote bedrijven zijn bovendien heel goed beveiligd.”

Digitale sporen

Het Slowaakse internetbeveiligingsbedrijf ESET heeft aangetoond welke sporen in de systemen erop wijzen dat het inderdaad Chinese hackersgroepen zijn die achter de aanvallen zitten. ESET en andere experts hebben, afgaande op de wijze van aanvallen en de achtergelaten digitale sporen, binnen Hafnium tenminste tien teams gedetecteerd die vermoedelijk vanuit verschillende plekken in China opereren.

Een van de meest fascinerende van deze groepen is APT41, waarbij APT staat voor Advanced Persistent Threat: een aanval waarbij langdurig en met geavanceerde middelen wordt geprobeerd om in de computers van anderen in te breken.

Een paar uur voordat Microsoft met herstelprogramma’s kwam, zette APT41 de aanval in op de Aziatische mailservers van een oliemaatschappij en een bedrijf dat machines voor de bouw maakt. Omdat de aanval net vóór de herstelprogramma’s kwam, gaan internetbeveiligers ervanuit dat APT41 al van tevoren moet hebben geweten dat Microsoft met een patch zou komen.

China zal Tan Dailan en andere hackers nooit uitleveren

De leider van APT41 is Tan Dailin, die er op de foto die de FBI van hem publiceerde uitziet als een gedistingeerde nerd. De vermoedelijk 37-jarige man, waarschijnlijk uit de west-Chinese provincie Sichuan, is een hele grote. Het Amerikaanse ministerie van Justitie stelde hem in september vorig jaar samen met vier andere Chinese hackers in staat van beschuldiging voor het stelen van informatie, het overnemen van netwerken en voor afpersing.

Die beschuldiging leidde tot niets: China zal hem en andere hackers nooit uitleveren. Dat weten de VS ook, de actie was waarschijnlijk dan ook meer bedoeld om China te laten weten dat ze Tan en anderen in het vizier hebben. Het maakte ook weinig indruk: Tan verdween wel een paar weken van de radar, maar toen zagen veiligheidsexperts alweer sporen van zijn activiteiten.

Duistere gast

Naar Tan is veel meer onderzoek gedaan dan naar de meeste hackers, maar hier past wel een slag om de arm: niet alles is hard te maken. Voor zover bekend is Tan sinds 2001 een „duistere gast”, zoals het Chinese woord voor hacker luidt. Hij had vroeger een blog waarin hij opschepte over zijn werk. Hij staat ook bekend als de Rose Hacker, Wicked Rose, Withered Rose of BlackWolf.

In 2001 onderscheidde hij zich tijdens wat de „vaderlandslievende aanvallen” zijn gaan heten: de ondergrondse hackersoorlogen tussen China en de VS die in 2001 begonnen toen een Chinese gevechtspiloot was omgekomen bij een botsing met een Amerikaans legervliegtuig voor de kust van China. Het ging erom zo veel mogelijk schade aan te richten aan elkaars computersystemen, maar er werden ook geintjes uitgehaald. Chinese hackers toverden bijvoorbeeld Chinese vlaggen en anti-Amerikaanse leuzen tevoorschijn op de schermen van Amerikaanse overheidsinstanties.

Tan was oorspronkelijk een student aan een technische universiteit in het west-Chinese Sichuan die met zijn medestudenten hackte, voor het geld en voor de lol. Zijn studie maakte hij niet af. In 2005 droeg het leger hem op mee te doen aan een militaire competitie voor hackers, die hij won. Daarna kreeg hij een korte opleiding bij het leger om zijn technieken te verbeteren. Namens het leger in Sichuan won hij vervolgens wedstrijden tegen een aantal andere militaire regio’s. Hij ontwierp in 2006 een programma dat is gebruikt in aanvallen op het Amerikaanse ministerie van Defensie. Daarmee kon een hele reeks documenten van het Pentagon naar China worden doorgesluisd.

Als het leger of de overheid je vraagt om als hacker iets voor ze te doen, is weigeren geen optie

Voor de ict-expert uit Zuid-China, die wel van Tan heeft gehoord maar hem niet persoonlijk kent, klinkt dit alles niet vreemd. „Als het leger of de overheid je vraagt om als hacker iets voor ze te doen, is weigeren geen optie”, zegt hij. „Ze zetten je onder druk, maken het je bijvoorbeeld onmogelijk om ergens anders werk te vinden.”

Handige hackers kiezen vaak voor een gemengd bedrijf van het soort dat Tan ook heeft: je neemt opdrachten aan van de overheid en het leger, maar daarnaast klus je wat bij door bijvoorbeeld met gestolen creditcards te shoppen in Japan, of door in te breken bij de ontwikkelaars van games in Zuid-Korea en daar virtuele spullen te stelen.

De overheid en het leger speuren overigens meer naar talent dan dat ze dat zelf van het begin af aan opleiden. „Dat hoeft ook niet, je kunt ze zo uit de maatschappij plukken.” Dat duurt minder lang, het is goedkoper en je weet beter wat je krijgt.

„Sommige hackers zijn op het internet een tijdlang heel opzichtig en actief. Dan opeens verversen ze hun sites niet meer en ze posten niets meer op sociale media”, zegt de man uit het Zuiden. „Dan zijn ze óf dood, of ze zijn bezig met dingen waarvan het leger of de staat niet wil dat daar de aandacht op wordt gevestigd.”

Wilde Westen

Aanvankelijk was hacken in China het terrein van vrije jongens. „Van 2003 tot, zeg, 2013 was ‘t het wilde, wilde Westen”, zegt Scott Henderson van cyberbeveiligingsbedrijf FireEye daarover in een recente podcast van het bedrijf. „De Chinezen waren alomtegenwoordig, ze maakten herrie, ze waren luidruchtig, ze waren overal ter wereld actief. En het kon ze niets schelen dat het duidelijk was dat zij erachter zaten”, zegt Henderson.

Dat is nu wel anders: de overheid en het leger hebben de regie strak in handen. Het hacken gebeurt steeds meer in opdracht van de staat en met heel specifieke doelen, meldt ook beveiligingssite Crowdstrike in een recent rapport. China’s leiders hebben zich gerealiseerd dat ze hackers doelbewust en gericht in kunnen zetten om China te versterken. Beijing heeft de wereld bijvoorbeeld onderverdeeld in vijf militaire regio’s. Hackers lijken te worden aangestuurd om zich op één zo’n regio te richten. Ook zijn er overeenkomsten tussen de verlanglijstjes van de overheid en de prioriteiten in China’s vijfjarenplannen, evenals met de verschillende blauwdrukken voor China’s toekomst als voorloper op het gebied van hi-tech.

De contacten met de overheid en het leger verlopen nooit rechtstreeks, maar altijd via tussenpersonen, zegt de cyberexpert uit Zuid-China. „Die komen met heel specifieke wensen. Het gaat om data over wapentechnologie, wetenschappelijk onderzoek en hoogwaardige technologie, vooral op het gebied van microchips”, zegt hij, „Daarnaast is alles op het gebied van telecom natuurlijk interessant.”

Scrupules hierover hebben de hackers niet. Hackers in China, moeten we begrijpen, zien zichzelf niet alleen als handige jongens, maar ook als een soort helden. En de overheid stimuleert ze daarin, ziet de beveiliger. „Ze zien spionage als een manier om zo snel en efficiënt mogelijk de wereldtop te bereiken. Dat is geen diefstal. Dat is vaderlandsliefde”.

