Feitenrelaas-APT31: de Chinese hackersgroep achter de wereldwijde cyberspionagecampagne

De Verenigde Staten en Groot-Brittannië hebben aanklachten ingediend en sancties opgelegd aan een bedrijf en personen die banden hebben met de Chinese staatshackinggroep APT31, die volgens hen betrokken was bij een grootschalige cyberspionagecampagne.

Deze groep werd naar verluidt geleid door het Chinese Ministerie van Staatsveiligheid en was meer dan tien jaar lang gericht op miljoenen mensen, voornamelijk in de VS en Groot-Brittannië, waaronder ambtenaren, wetgevers, activisten, academici en journalisten, en bedrijven variërend van defensieaannemers tot een Amerikaanse smartphonefabrikant.

China heeft de beschuldigingen ontkend.

"Wij dringen er bij de VS en Groot-Brittannië op aan om de kwestie van cyberveiligheid niet langer te politiseren, China niet langer zwart te maken, geen unilaterale sancties op te leggen en te stoppen met cyberaanvallen tegen China," zei de woordvoerder van het Ministerie van Buitenlandse Zaken, Lin Jian.

WAT IS APT31?

Advanced Persistent Threat Group 31 (APT31) is een collectief van Chinese staatsgesponsorde inlichtingenofficieren, contracthackers en bijbehorend personeel die zich bezighouden met hackactiviteiten en "kwaadaardige cyberoperaties", aldus het Amerikaanse ministerie van Financiën in een verklaring. APT's zijn een algemene term voor cyberactoren of -groepen, vaak gesteund door de staat, die zich bezighouden met kwaadaardige cyberactiviteiten.

De groep, ook bekend onder de naam Zirconium, opereerde via een dekmantelbedrijf, Wuhan Xiaoruizhi Science and Technology Company (Wuhan XRZ), van ten minste 2010 tot januari 2024, volgens een Amerikaanse aanklacht die maandag werd ingediend bij de oostelijke districtsrechtbank van New York. Het bedrijf zou banden hebben met het Chinese Ministerie van Staatsveiligheid (MSS) in de provincie Hubei.

Los daarvan beweerde de Nieuw-Zeelandse regering op 25 maart dat een andere door de staat gesteunde Chinese hackersgroep, APT40, achter een hack van het parlement in 2021 zat.

WAARVAN WORDT APT31 BESCHULDIGD?

APT31 en Chinese veiligheidsinstanties richtten zich volgens de VS op duizenden Amerikaanse en buitenlandse politici, deskundigen op het gebied van buitenlands beleid en anderen als onderdeel van de doelstellingen van de MSS op het gebied van buitenlandse inlichtingen en economische spionage. Individuen in het Witte Huis, het Ministerie van Buitenlandse Zaken en echtgenoten van ambtenaren waren ook het doelwit.

De hacks werden vaak uitgevoerd in verband met geopolitieke gebeurtenissen die van invloed waren op China, waaronder economische spanningen met de VS, maritieme aanspraken in de Zuid-Chinese Zee en de prodemocratische protesten in Hongkong in 2019 en het daaropvolgende harde optreden, aldus de Amerikaanse aanklacht.

De samenzwering omvatte meer dan 10.000 kwaadaardige e-mails op meerdere continenten in een "productieve wereldwijde hackoperatie" die door Beijing werd gesteund, aldus de aanklacht. Het doel was onder andere om critici van Beijing te onderdrukken, overheidsinstellingen te compromitteren en handelsgeheimen te stelen, aldus de Amerikaanse autoriteiten.

Het U.S. Treasury Department's Office of Foreign Assets Control (OFAC) sanctioneerde Wuhan XRZ en 7 Chinese personen op 25 maart, waaronder Ni Gaobin en Zhao Guangzong.

De Britse regering legde ook sancties op aan hetzelfde bedrijf uit Wuhan en aan de twee mannen, Ni en Zhao. De Britse autoriteiten beweerden dat zij achter een hack zaten in 2021 van e-mails van de Inter-Parliamentary Alliance on China (IPAC), een Britse groep die banden heeft met een internationaal netwerk van politici die kritisch staan tegenover China; evenals achter een cyberaanval in 2021-2022 op de Britse verkiezingscommissie.

WAT WETEN WE OVER DE GESANCTIONEERDEN?

De zeven mannen, tussen de 34 en 38 jaar oud, in de Amerikaanse aanklacht worden beschuldigd van hackingactiviteiten ter ondersteuning van MSS-doelstellingen op het gebied van buitenlandse inlichtingendiensten en economische spionage.

Wuhan XRZ staat formeel vermeld als een bedrijf dat zich bezighoudt met technologieontwikkeling en advies in de Chinese bedrijfsinformatiedatabase Qichacha met minder dan 50 werknemers. Het is gevestigd in een technologische ontwikkelingszone in de zuidoostelijke buitenwijken van Wuhan.

Het bedrijf en APT 31 waren "verantwoordelijk voor, betrokken bij of ondersteunend bij de opdracht, planning of voorbereiding van relevante cyberactiviteiten namens de Chinese staat", schreef de Britse regering op haar bijgewerkte sanctielijst.

De huidige wettige eigenaar is Wang Hongye, die het bedrijf eind 2023 overnam van een vorige eigenaar. Het bedrijf werd in 2010 opgericht met een maatschappelijk kapitaal van 250.000 yuan.

De Amerikaanse autoriteiten hebben beloningen tot $10 miljoen uitgeloofd voor informatie over de hackers.

Ni, een 38-jarige Chinees die door de VS en het VK op de vingers is getikt, werd ook door de VS op de korrel genomen omdat hij het gemunt had op democratische activisten en wetgevers in Hongkong, en op leden van de Oeigoerse minderheidsgroep, door middel van spear-phishing campagnes en inmenging in informatiesystemen.

De afgelopen jaren heeft China hard opgetreden tegen dissidenten in Hongkong en de noordwestelijke regio Xinjiang, waar veel Oeigoeren wonen.