Onderzoek naar bedrijfsactiviteiten van Chinees cybersecuritybureau I-SOON geeft inzicht in wereldwijde spionage

Nieuws
Redactie WINMAG Pro

Op 16 februari 2024 lekten documenten gelinkt aan de activiteiten van het Chinese bedrijf I-SOON uit. Deze documenten onthulden een groot aantal cyberspionagecampagnes die verspreid over vijf continenten werden uitgevoerd in het belang van China. De cybersecurity-onderzoekers van HarfangLab analyseerden de documenten grondig om inzicht te krijgen in de organisatie, tactieken, tools, doelwitten en klanten van het Chinese cybersecuritybureau. De analyse toont de vervaging tussen privébedrijven en Chinese overheidsdiensten, waarbij I-SOON zelfs vaardigheden uitleent aan bepaalde overheidsinstanties.   

 

Actieve aanbieder van inbraak- en spionagediensten 

De gelekte documenten laten een organisatie zien die al meer dan tien jaar actief inbraak- en spionagediensten aanbiedt en gegevens buitmaakt in talloze landen verspreid over vijf verschillende continenten. I-SOON is een privaat bedrijf dat in 2010 is opgericht in Shanghai. Het heeft ongeveer 70 werknemers en 3 dochterondernemingen. De missie van het bedrijf is, zoals vermeld op de officiële website, om "een robuuste kracht voor nationale defensie te worden, met een sterk gevoel voor politieke verantwoordelijkheid en een geest van hoge verantwoordelijkheid tegenover de partij en het volk". Het bedrijf is een gecertificeerde leverancier van het Defence and Cyber Security Bureau van het Chinese Ministerie van Openbare Veiligheid voor het leveren van "tools, technologieën en apparatuur". Het bedrijf heeft het equivalent van een veiligheidsmachtiging gekregen. Klanten zijn voornamelijk overheidsinstanties, met name openbare veiligheidsdiensten en -departementen in verschillende provincies en autonome regio's. Een lijst van klanten is als bijlage toegevoegd aan het volledige rapport van de onderzoekers van HarfangLab.  

De onderzoekers van HarfangLab zijn van mening dat de documenten geloofwaardig en authentiek zijn, maar dat het voornamelijk gaat om commerciële informatie, die niet noodzakelijkerwijs volledig is en door zijn aard een zekere mate van verfraaiing van de feiten met zich mee kan brengen.  

Off-the-shelf diensten en tools 

I-SOON biedt een heel scala aan kant-en-klare tools en diensten: toegang tot een organisatie via malware, teruggevonden documenten van organisaties, maar ook een aanbod dat een volledige analyse van de teruggevonden documenten omvat. I-SOON handelt als een inlichtingenbedrijf en biedt de hele keten aan van het verschaffen van toegang, tot het verzamelen van inlichtingen.  

Het bedrijf handelt reactief, op basis van vraag, maar ook proactief dringt het systemen binnen en verzamelt het gegevens, die het vervolgens aanbiedt aan zijn prospects. Naast het uitvoeren van cyberacties vanuit hun eigen infrastructuren, stuurt het ook experts naar de locaties van hun klanten, zodat ze operaties kunnen uitvoeren vanuit de infrastructuren en entiteiten van hun klanten. Dit illustreert de dubieuze relatie tussen particuliere bedrijven en de Chinese overheidsdiensten. 

De catalogus van I-SOON bevat een reeks malware en backdoors ontworpen voor hun klanten. De gesprekken in de geanalyseerde bestanden suggereren dat het bedrijf externe serviceproviders gebruikt en niet zelf de malware ontwikkelt die het gebruikt of verkoopt. Het is vooral interessant om te zien dat de I-SOON catalogus geen zero-day kwetsbaarheden in software bevat. Een analyse van de aangeboden tools toont aan dat ze voornamelijk open-source tools verkopen die herverpakt zijn om ze gemakkelijker in gebruik te maken.  

Verfijning van relatieve tools  

De grootste uitdaging is niet het binnendringen van de systemen van het doelwit, maar het verwerken van de hoeveelheid verzamelde informatie. De kernactiviteit van I-SOON is het ontwikkelen van talloze platforms en analysesystemen om klanten, en waarschijnlijk het bedrijf zelf, te helpen bij het verwerken van gestolen gegevens. Ze zijn ook gespecialiseerd in het faciliteren van inbraakwerk en het organiseren van cyberoperaties.  

Wat I-SOON te bieden heeft, is niet zozeer een geavanceerde inbraakmethode, vaak phishing, maar meer het vermogen om enorme hoeveelheden gegevens te verwerken en analyseren door het creëren van eigen business intelligence tools met behulp van AI en Deep Learning. Het lijkt erop dat er verschillende platforms met dezelfde architectuur zijn ontwikkeld voor het verzamelen van informatie. Dit komt overeen met een voorspelling eerder dit jaar van de onderzoekers van HarfangLab. Zij voorspelden dat bedreigingsactoren AI-mogelijkheden niet zullen gebruiken om gegevens te verzamelen, maar om gestolen gegevens te verwerken, sorteren en filteren.  

Internationale en zeer gevarieerde victimologie 

I-SOON is niet gespecialiseerd in het verzamelen van één bepaald soort informatie. De activiteiten variëren van binnenlandse surveillance (het verzamelen van informatie over etnische minderheden zoals de Oeigoeren, het hacken van platforms voor de verkoop van drugs of online weddenschappen, etc.) tot spionage (militaire inlichtingendienst, binnendringen in telecommunicatienetwerken, universiteiten, denktanks, etc.). 

De victimologie van I-SOON is extreem breed en internationaal. Dit is vooral indrukwekkend gezien de omvang van het bedrijf en het lage niveau van geavanceerdheid van de inbraakmiddelen. Afgezien van binnenlandse surveillanceoperaties, valt het grootste aantal slachtoffers in Azië, rond China. In Europa is het Verenigd Koninkrijk het land met het grootste aantal slachtoffers (vooral veel ministeries). In Frankrijk is Sciences-Po het enige slachtoffer dat in de dossiers wordt genoemd. De andere Europese slachtoffers bevinden zich in Roemenië en Macedonië.    

Koppelingen met eerder gedocumenteerde APT-aanvallen  

Na de analyse van de volledige reeks activiteiten van I-SOON werden verbanden gelegd met campagnes die eerder door andere cyberbeveiligingsbedrijven aan APT's (advanced persistent threat) werden toegeschreven.  

Ivan Kwiatkowski, Lead Threat Researcher bij HarfangLab legt uit: "Dit datalek geeft ons een unieke kijk in de innerlijke werking van een APT-groep en de structuur van het Chinese cyber-ecosysteem. De productcatalogi van het bedrijf zijn bijzonder interessant, omdat ze laten zien dat het voor I-SOON geen uitdaging is hoe het zijn doelwitten kan binnendringen, maar hoe het de hoeveelheid gestolen gegevens kan verwerken. Ondanks het gebruik van weinig geraffineerde methoden, zijn aanvallers in staat geweest om massale wereldwijde campagnes uit te voeren die hooggeplaatste doelwitten op elk continent hebben getroffen. Voor verdedigers zou dit een waarschuwing moeten zijn.” 

Ga naar Inside the Lab om het volledige rapport te lezen. 

 

Ook interessant:

Lees hier: Proofpoint's 2024 State of the Phish rapport: 69% van Nederlandse werknemers gokt met security van organisaties.

Lees hier: Absolute Motors verwelkomt Alexander Sterk als commercieel directeur

Lees meer

Huawei ontkent in spionagezaak ASML
Huawei ontkent in spionagezaak ASML
'Soap' vermeende spionage Huawei gaat door
'Soap' vermeende spionage Huawei gaat door
Directeur Huawei opgepakt in Polen
Directeur Huawei opgepakt in Polen
VS wil dat bevriende landen geen Huawei gebruiken in hun netwerken
VS wil dat bevriende landen geen Huawei gebruiken in hun netwerken
Russische antivirusmaker Kaspersky verhuist naar Zwitserland
Russische antivirusmaker Kaspersky verhuist naar Zwitserland
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie