RSA-hack blijkt vanuit China gelanceerd te zijn

De gegevens zijn later naar verluidt gebruikt bij inbraken of pogingen daartoe bij de voor defensie werkende bedrijven Lockheed Martin en L3 Communications. De tegenmaatregelen in huis en bij klanten kostten RSA afgelopen kwartaal 66 miljoen dollar.

Command-and-controlservers stonden in Bejing en Sjanghai
Directeur Joe Stewart van Dell SecureWorks kon de sporen van de aanvallen op RSA terugvolgen tot de command-and-controlservers van waaruit ze uitgevoerd werden. Dat was niet zo moeilijk als het lijkt. Een deel van de 60 malwarefamilies die werden gebruikt was niet zo geavanceerd, en degenen die de malware gebruikten waren kennelijk niet op de hoogte van het feit dat er nog wat debuggingcode uit de malware moest worden verwijderd om ervoor te zorgen dat de locatie van de command-and-controlserver gemaskeerd werd door het door Chinese hackers veelgebruikte tootlje Htran.

Die servers bleken opgesteld te zijn in Bejing en Sjanghai. Met die informatie zouden de eigenaren op te sporen zijn, maar dat vraagt wel medewerking van staatsbedrijf China Unicom, en dus van de Chinese regering. Stewart benadrukt overigens dat zijn constatering niet bewijst dat de Chinese overheid betrokken is bij de hacks.

China al eerder in het vizier
Maar het nieuws op het hackingfront van de laatste dagen roept wel vragen op over de rol van de Chinese regering. Gisteren meldde McAfee dat 72 organisaties soms jarenlang via cyberspace bespioneerd waren. En het lijstje slachtoffers maakt onaannemelijk dat een andere partij dan de Chinese overheid interesse zou kunnen hebben in de informatie die daar te halen was.

Eerder dit jaar lekten al telegrammen uit van de Amerikaanse overheid waarin sprake was van intensiever wordende pogingen tot cyberinbraak bij de Amerikaanse regering en Defensie door het Chinese leger. Die telegrammen dateerden uit 2002. En ook bij andere inbraken, zoals bij Google en Yahoo en een dertigtal andere Amerikaanse bedrijven, wees het spoor naar China.