
Cyberspionage: de Russen en de Chinezen
Er waren twee grote cyberspionageverhalen in het nieuws afgelopen week. Laten we eens kijken waar het over ging en wat er eigenlijk aan de hand was.
De Russen
De MIVD heeft afgelopen week in samenwerking met de AIVD en de Engelsen een cyberoperatie van de GRU bij de OPCW gestopt.
Ehh.. Wat? Waaat?
Eerst maar even de afkortingen, dan het verhaal.
- De AIVD: die kennen we. De algemene inlichtingen en veiligheidsdienst, onze eigen Nederlandse spy-club;
- De MIVD – het zusje van de AIVD, de militaire inlichtingen en veiligheidsdienst
- De GRU, of eigenlijk de GU, of eigenlijk de ГУ (voorheen de ГРУ), maar iedereen zegt GRU: de Russische militaire inlichtingendienst, een dienst die niets met de FSB, voorheen KGB, te maken heeft (en ook niks met minions) en een heel eigen leven leidt, en
- De OPCW, de organization for the prohibition of chemical weapons. Gevestigd in Den Haag.
Wat was er aan de hand?
Vier Russen, aldus de MIVD, hadden hun huurauto geparkeerd bij het Marriot Hotel, direct naast het OPCW gebouw. In de auto zat apparatuur om een open WiFi netwerk op te zetten. De heren waren bezig met het opzetten van de operatie toen de MIVD ingreep. De apparatuur is in beslag genomen en de mannen zijn het land uitgezet.
Maar wacht… een open WiFi netwerk? Hebben we de tijd van wardriven (rondrijden met WiFi apparatuur en op open netwerken inbreken) 10 jaar geleden niet achter ons gelaten? Deze truc werkt alleen als de medewerkers van de OPCW verbinding maken met open WiFi netwerken. En blijkbaar dacht de GRU dat ze dat deden.
Waarom open netwerken zo gevaarlijk zijn
Hoe werkt dat, zo’n open netwerk opzetten?
Stel: u bent met uw mobieltje bij de Starbucks geweest. Daar hadden ze een open WiFi netwerk, en dat was op dat moment handig, dus dat heeft u gebruikt. Uw telefoon heeft Starbucks_fee_wifi aan het lijstje met verbindingen toegevoegd.
Stel vervolgens dat u op dit moment niet verbonden bent met WiFi. Uw telefoon zendt dan continue de namen uit dat lijstje met bekende verbindingen uit. Als er een apparaat “ja, dan ben ik” zegt wordt een verbinding tot stand gebracht. Was het een beveiligde verbinding, dan wordt het wachtwoord gecontroleerd. Was het een open verbinding, dan zit u direct op het net.
Als ik nu een WiFi- apparaatje heb dat simpelweg “ja, dat ben ik” zegt op alle aanvragen, dan lijkt u dus ineens verbonden met het Starbucks_free_wifi net, maar in feite bent u met mij verbonden. Ik verschaf u braaf internettoegang. Maar ik kan wel meekijken met alles wat u stuurt en ontvangt.
Terug naar de OPCW
Waren er op de OPCW dan medewerkers die hun werk-apparatuur weleens met een open WiFi netwerk verbonden? Wederom: de GRU dacht van wel. Op wigle.net is een open netwerk genaamd OPCWWLAN te zien in de buurt van de OPCW, dus het zou kunnen dat medewerkers en gasten daar ooit mee verbonden waren. (Het zou ook een eerdere poging tot spionage kunnen zijn)
De GRU aanval is niet geslaagd, maar leert ons wederom een belangrijke les: 95%* van alle cyberoperaties zijn super simpel – en eenvoudig te voorkomen. Waarom uitgebreid ingewikkelde malware schrijven als het zo ook lukt?
* wilde schatting
Maar het bleef niet bij 4
Vier GRU’ers opgepakt en uitgezet dus. Maar het verhaal heeft nog een staartje.
De MIVD heeft de identiteiten van de 4 Russen vrijgegeven, en een paar internetonderzoekers (Bellingcat & The Insider) zijn eens gaan kijken of die echt waren.
En dat waren ze. En ze werden gevonden. Een van de vier werd teruggevonden in de kentekenregistratie database van de Russische verkeerspolitie. Nee, die hoefden ze niet te hacken. Die database is gewoon te koop op de zwarte markt.
Het adres waarop de auto geregistreerd was, комсомольский проспект 20 in Moskou, is het adres van Militaire Unit 26165б, naar verluid het cyber warfare department van de GRU.
Zouden er nog meer auto’s op dat adres geregistreerd staan? Jawel: de database bevatte de namen, paspoortnummers en telefoonnummers van in totaal 305 individuen die hun (prive)auto op dat adres hebben geregistreerd.
Als dit allemaal klopt dan liggen er in een keer de gegevens van 308 spionnen op straat. Dat is tamelijk uniek. En de oorzaak? Waarom hebben deze mensen hun auto op dat adres geregistreerd? Omdat je daarmee op een speciale lijst komt: geen autobelasting, geen boetes voor rijden onder invloed. Kortom: slordigheid, corruptie, menselijk gedrag.
Maar wat is er nou echt aan de hand?
Een waanzinnig interessant verhaal, maar wat er echt allemaal achter zit weten we niet.
Wat de spionnen kwamen doen is onbekend, want ze zijn opgepakt voor ze hun actie konden uitvoeren. Of de 305 mensen uit de database echt voor de GRU werken, en wat ze daar doen is ook onbekend. En de gevolgen op termijn van deze ontdekkingen: dat valt al helemaal niet te overzien.
De Chinezen
Ondertussen was er nog een ander verhaal in het nieuws. Volgens een artikel van Bloomberg zou China minuscule geheime chips hebben ingebouwd in moederborden die gekocht zouden zijn door grote Amerikaanse (internet)bedrijven. Met deze extra chips zou China overal bij kunnen.
Vergeet spionnen die met Pineapples in hun autootje het WiFi netwerk proberen af te luisteren, bouw despionagemogelijkheden gelijk in de hardware in – veel makkelijker.
Een uitgebreid verhaal, veel plaatjes, en China is wel vaker beschuldigd van het op hardware-level inbouwen van spionagemogelijkheden. Maar ondertussen beweren Apple en Amazon, die volgens Bloomberg getroffen zouden zijn door de hardware niets te hebben gezien. Kortom, laten we, zeker gezien de politieke vrieskou tussen de VS en China nog even wachten op onafhankelijk onderzoek voor we met de vinger gaan wijzen. Zo klein zijn die chips nou ook weer niet. Laat ze maar zien.
No Comments :