Volgens twee van de bronnen zijn de hacks, althans gedeeltelijk, gericht op het verkrijgen van informatie over schulden van het Oost-Afrikaanse land aan Beijing: Kenia is een strategische schakel in het Belt and Road Initiative - het plan van president Xi Jinping voor een wereldwijd infrastructuurnetwerk.
"Verdere compromissen kunnen zich voordoen naarmate de behoefte aan inzicht in komende terugbetalingsstrategieën groter wordt", aldus een onderzoeksrapport uit juli 2021 van een defensieaannemer voor particuliere klanten.
Het Chinese ministerie van Buitenlandse Zaken zei dat het "niet op de hoogte" was van dergelijke hacking, terwijl de Chinese ambassade in Groot-Brittannië de beschuldigingen "ongegrond" noemde en eraan toevoegde dat Peking zich verzet tegen en strijdt tegen "cyberaanvallen en diefstal in al hun vormen".
De invloed van China in Afrika is de afgelopen twee decennia snel gegroeid. Maar net als verschillende andere Afrikaanse landen komen de financiën van Kenia onder druk te staan door de toenemende kosten van de buitenlandse schuld, waarvan een groot deel aan China verschuldigd is.
De hackcampagne toont aan dat China bereid is zijn spionagecapaciteiten aan te wenden om economische en strategische belangen in het buitenland te bewaken en te beschermen, aldus twee van de bronnen.
De hacks vormen een drie jaar durende campagne gericht op acht Keniaanse ministeries en overheidsdiensten, waaronder het presidentiële bureau, aldus een inlichtingenanalist in de regio. De analist deelde met Reuters ook onderzoeksdocumenten met de tijdlijn van de aanvallen, de doelwitten en verstrekte enkele technische gegevens met betrekking tot de compromittering van een server die uitsluitend wordt gebruikt door Kenia's belangrijkste spionagedienst.
Een Keniaanse cyberbeveiligingsdeskundige beschreef soortgelijke hackactiviteiten tegen de ministeries van Buitenlandse Zaken en Financiën. Alle drie de bronnen wilden niet bij naam genoemd worden vanwege de gevoelige aard van hun werk.
"Uw beschuldiging van hackpogingen door entiteiten van de Chinese regering is niet uniek", aldus het Keniaanse presidentiële bureau, dat eraan toevoegde dat de regering het doelwit was geweest van "frequente infiltratiepogingen" van Chinese, Amerikaanse en Europese hackers.
"Wat ons betreft was geen van de pogingen succesvol," zei het kantoor.
Er werden geen verdere details verstrekt of vervolgvragen beantwoord.
Een woordvoerder van de Chinese ambassade in Groot-Brittannië zei dat China tegen "onverantwoordelijke stappen is die onderwerpen als cyberveiligheid gebruiken om tweedracht te zaaien in de betrekkingen tussen China en andere ontwikkelingslanden".
"China hecht groot belang aan de schuldenkwestie van Afrika en werkt intensief om Afrika te helpen ermee om te gaan", voegde de woordvoerder eraan toe.
DE HACKS
Tussen 2000 en 2020 heeft China bijna 160 miljard dollar aan leningen verstrekt aan Afrikaanse landen, volgens een uitgebreide database over Chinese leningen die wordt beheerd door de Universiteit van Boston.
Kenia gebruikte meer dan 9 miljard dollar aan Chinese leningen voor de financiering van een agressieve poging om spoorwegen, havens en snelwegen te bouwen of te verbeteren.
Beijing werd de grootste bilaterale crediteur van het land en kreeg vaste voet aan de grond in de belangrijkste Oost-Afrikaanse consumentenmarkt en een essentieel logistiek knooppunt aan de Afrikaanse kust van de Indische Oceaan.
Eind 2019 echter, toen de Keniaanse cyberbeveiligingsdeskundige aan Reuters vertelde dat hij door Keniaanse autoriteiten was ingeschakeld om een hack van een overheidsnetwerk te beoordelen, droogden de Chinese leningen op. En de financiële problemen van Kenia waren zichtbaar.
De inbraak die de Keniaanse cyberbeveiligingsdeskundige onderzocht en aan China toeschreef, begon met een "spearphishing"-aanval aan het eind van datzelfde jaar, toen een Keniaanse overheidsmedewerker onbewust een geïnfecteerd document downloadde, waardoor hackers het netwerk konden infiltreren en toegang kregen tot andere agentschappen.
"Er werden veel documenten gestolen van het ministerie van Buitenlandse Zaken en ook van het ministerie van Financiën. De aanvallen leken gericht op de schuldsituatie", aldus de Keniaanse cyberbeveiligingsdeskundige.
Een andere bron - de inlichtingenanalist die in de regio werkt - zei dat Chinese hackers een verreikende campagne tegen Kenia uitvoerden die eind 2019 begon en doorging tot minstens 2022.
Volgens door de analist verstrekte documenten onderwierpen Chinese cyberspionnen het kantoor van de president van Kenia, de ministeries van Defensie, Informatie, Gezondheid, Land en Binnenlandse Zaken, het antiterrorismecentrum en andere instellingen aan aanhoudende en langdurige hackactiviteiten.
De getroffen overheidsdiensten reageerden niet op verzoeken om commentaar, weigerden te worden geïnterviewd of waren onbereikbaar.
Tegen 2021 hadden de wereldwijde economische gevolgen van de COVID-19-pandemie er al toe bijgedragen dat een grote Chinese lener - Zambia - in gebreke bleef met zijn buitenlandse schuld. Kenia slaagde erin een tijdelijk uitstel van schuldaflossing van China te verkrijgen.
Begin juli 2021 werd in de onderzoeksrapporten over cyberbeveiliging die door de inlichtingenanalist in de regio werden gedeeld, gedetailleerd uiteengezet hoe de hackers in het geheim toegang kregen tot een e-mailserver die werd gebruikt door de Keniaanse nationale inlichtingendienst (NIS).
Reuters kon bevestigen dat het IP-adres van het slachtoffer tot de NIS behoorde. Het incident werd ook behandeld in een rapport van de particuliere defensieaannemer dat door Reuters werd bestudeerd.
Reuters kon niet vaststellen welke informatie bij de hacks werd buitgemaakt of wat het motief voor de aanvallen was. Maar in het rapport van de defensieaannemer staat dat de inbraak bij de NIS mogelijk bedoeld was om informatie te verkrijgen over de manier waarop Kenia zijn schuldbetalingen wilde beheren.
"Kenia voelt momenteel de druk van deze schuldenlast... aangezien veel van de projecten die met Chinese leningen zijn gefinancierd, nog niet genoeg inkomsten genereren om zichzelf te betalen", aldus het rapport.
Uit een onderzoek door Reuters van internetlogs waarin de Chinese digitale spionageactiviteiten in kaart werden gebracht, bleek dat een server die door de Chinese hackers werd gecontroleerd, van december 2022 tot februari van dit jaar ook toegang had tot een gedeelde Keniaanse overheidswebmaildienst.
Chinese functionarissen weigerden commentaar te geven op deze recente inbreuk, en de Keniaanse autoriteiten reageerden niet op een vraag hierover.
"ACHTERDEURDIPLOMATIE
De defensieaannemer, die wijst op identieke instrumenten en technieken die in andere hackingcampagnes worden gebruikt, identificeert een aan de Chinese staat gelinkt hackingteam als uitvoerder van de aanval op de Keniaanse inlichtingendienst.
De groep staat bekend als "BackdoorDiplomacy" in de onderzoeksgemeenschap op het gebied van cyberbeveiliging, vanwege zijn reputatie om de doelstellingen van de Chinese diplomatieke strategie te bevorderen.
Volgens het in Slowakije gevestigde cyberbeveiligingsbedrijf ESET gebruikt BackdoorDiplomacy kwaadaardige software tegen zijn slachtoffers om toegang te krijgen tot hun netwerken, waardoor het mogelijk wordt hun activiteiten te volgen.
Palo Alto Networks, een Amerikaans cyberbeveiligingsbedrijf dat de activiteiten van BackdoorDiplomacy volgt en door Reuters werd voorzien van het IP-adres van de NIS-hackers, bevestigde dat het bij de groep hoort en voegde eraan toe dat uit zijn voorafgaande analyse blijkt dat de groep wordt gesponsord door de Chinese staat.
Cyberbeveiligingsonderzoekers hebben BackdoorDiplomacy-hacks gedocumenteerd die gericht waren op overheden en instellingen in een aantal landen in Azië en Europa.
Invallen in het Midden-Oosten en Afrika lijken minder gebruikelijk, waardoor de focus en omvang van de hackactiviteiten in Kenia bijzonder opmerkelijk zijn, aldus het rapport van de defensieaannemer.
"Deze hoek is duidelijk een prioriteit voor de groep."
De ambassade van China in Groot-Brittannië wees elke betrokkenheid bij de Keniaanse hackers af en ging niet direct in op vragen over de relatie van de regering met BackdoorDiplomacy.
"China is een belangrijk slachtoffer van cyberdiefstal en -aanvallen en een fervent verdediger van cyberveiligheid", aldus een woordvoerder. (Verslaggeving door Aaron Ross in Nairobi, James Pearson in Londen en Christopher Bing in Washington Aanvullende rapportage door Eduardo Baptista in Peking Bewerking door Chris Sanders en Joe Bavier)
