Select your country

Not finding what you are looking for, select your country from our regional selector:

Zoeken

Het verborgen netwerk: zo bundelt China overheid, bedrijfsleven en universiteiten voor digitale aanvallen

Tussen 2023 en 2024 bracht ons World Watch Cyber Threat Intelligence-team meer dan 35 waarschuwingen en updates uit over zero-day kwetsbaarheden die actief werden misbruikt door Chinese dreigingsactoren. Deze maken 41% uit van alle waarschuwingen met een hoog of zeer hoog dreigingsniveau (boven de 4/5 op onze beoordelingsschaal) en vormen daarmee een aanzienlijk deel van de kritieke dreigingen voor onze klanten. Of het nu gaat om directe compromittering van organisaties voor spionagedoeleinden, of het grootschalig infecteren van randapparaten om botnets of zogenoemde operational relay box (ORB)-netwerken te bouwen – de manier waarop door China gesteunde groepen kwetsbaarheden uitbuiten, laat hun sterke offensieve cybercapaciteiten zien.

Van zero-days tot universiteiten: de lagen in China’s cyberoffensief

Gezien de autoritaire structuur van China, met grote partijcontrole over sociale, politieke en economische domeinen, zou je verwachten dat cyberoperaties van deze APT-groepen volledig onder controle van de staat plaatsvinden. In werkelijkheid wordt China’s offensieve cyberstrategie echter ondersteund door een complex en gelaagd ecosysteem waarin zowel staats- als niet-staatsactoren een rol spelen.

In februari 2024 bracht een datalek bij het Chinese bedrijf Sichuan i-SOON meer duidelijkheid over de nauwe samenwerking tussen publieke en private partijen binnen de Chinese cyberoperaties. Uit gelekte documenten – waaronder officiële contracten en interne communicatie – blijkt dat i-SOON al jarenlang werkt in opdracht van het Ministerie van Staatsveiligheid (MSS), en betrokken is bij cybercampagnes tegen doelwitten in meer dan 70 landen, variërend van Frankrijk tot Rwanda en Nepal.

China’s samenwerking met niet-staatsactoren beperkt zich niet tot het bedrijfsleven. De overheid werkt al lange tijd samen met topuniversiteiten als onderdeel van haar nationale veiligheidsstrategie. De zogenoemde ‘Zeven Zonen van de Nationale Defensie’ zijn academische instellingen die nauw verbonden zijn met het ministerie van Industrie en Informatietechnologie, en een grote rol spelen in defensiegerelateerd onderzoek. Die samenwerking strekt zich inmiddels ook uit tot cyberspace: steeds vaker leveren deze universiteiten directe ondersteuning aan staatsgesteunde cybercampagnes, vooral gericht op digitale spionage om China’s politieke en economische belangen te versterken.

Orange Cyberdefense CERT heeft de afgelopen maanden intensief onderzoek gedaan naar het Chinese cyberdreigingslandschap, met speciale aandacht voor de verwevenheid tussen civiele en militaire cybercapaciteiten. De uitkomst is een interactieve kaart die de complexe relaties binnen het Chinese cyberecosysteem in beeld brengt en een bijbehorend rapport.

Van APT1 tot LuckyCat: dit is het speelveld van Chinese dreigingsactoren

Deze interactieve kaart plaatst de activiteiten van dreigingsactoren in context en bouwt voort op bestaand onderzoek van toonaangevende experts en insiders, waaronder Dakota Cary, Adam Kozy, Eugenio Benincasa, het Natto Thoughts-onderzoeksteam en de groep Intrusion Truth.

Vanaf oktober 2024 bevat de kaart meer dan 315 knooppunten, waaronder:

  • Chinese overheidsinstellingen (42)
  • Kwetsbaarheidsdatabases (12)
  • Private bedrijven (171)
  • Schijnbedrijven (19)
  • Universiteiten (24)
  • Cybercompetities (39)
  • Civiele hackgroepen (7)
  • Cyber Ranges (2)

De kaart is volledig interactief. Je kunt eenvoudig navigeren met je muis of gebruikmaken van filters zoals tags, locatie en ‘pipelines’. De tags verwijzen onder meer naar intrusion sets en/of bekende dreigingsgroepen, waaronder:

 

APT1APT14APT27APT41Stalker Panda
APT2APT17APT30Circuit PandaKarma Panda
APT3APT19APT31Nomad PandaEthereal Panda
APT10APT26APT40Dragnet PandaLuckyCat

 

De locaties verwijzen naar zowel specifieke steden (waar bekend) als bredere regio’s. We hebben deze locaties gegroepeerd in vijf zogenoemde theaters, overeenkomstig met de militaire theatercommando’s van het Volksbevrijdingsleger (PLA). Deze indeling biedt extra inzicht, ook bij knooppunten die geen directe PLA-link hebben, omdat het duidelijk maakt waar de focus van operaties ligt en welke regio’s doelwit zijn.

Een datagedreven blik op China’s cybernetwerk, met nuance en context

Meer dan 400 relaties worden in kaart gebracht en toegelicht. Ze zijn zichtbaar als klikbare pijlen tussen de knooppunten én worden beschreven in het detailoverzicht per knooppunt. Elke relatie is voorzien van een korte toelichting en een betrouwbaarheidsniveau (laag, middel of hoog), gebaseerd op onze beoordeling van de relevantie en betrouwbaarheid van de bron.

De data voor deze knooppunten en relaties zijn afkomstig uit een brede analyse van publiek toegankelijke academische publicaties, open source intelligence (OSINT) en CTI-literatuur over het Chinese cyberecosysteem. Dit project is het resultaat van meer dan vijf maanden onderzoek, dataverzameling en analyse.

Belangrijk om te benoemen: de kaart is per definitie niet volledig. Onze zichtbaarheid is beperkt en het dreigingslandschap waar we naar kijken is, juist door zijn aard, moeilijk volledig te doorgronden.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11