Hoe Chinese hacking groter, beter en geniepiger wordt

China dringt almaar meer binnen in onze digitale infrastructuur. Het heeft daarvoor een leger slimme mensen ter beschikking, ook in privébedrijven.

De kracht van China wordt ieder jaar zichtbaar groter. Het land produceert machinerie in een buitengewoon tempo, van oorlogsschepen tot raketten. In de meer onzichtbare onlinewereld maakt het land vergelijkbare sprongen. Op 4 maart klaagde het Amerikaanse ministerie van Justitie acht Chinese staatsburgers aan voor het op grote schaal hacken van overheidsinstanties, nieuwsuitzendingen en dissidenten in Amerika en de rest van de wereld. Ze werkten voor i-Soon, een Chinees bedrijf, in opdracht van de Chinese overheid. Er werden ook twee functionarissen aangeklaagd die “de hacks aanstuurden”.

Het is niet meer dan het topje van een enorme ijsberg. In de afgelopen tien jaar is het hackingprogramma van China snel gegroeid, zo snel dat Christopher Wray, toen de directeur van de FBI, in 2023 opmerkte dat het programma groter was dan dat van alle andere grote landen samen. China’s groeiende omvang en technische voorsprong heeft succes opgeleverd op drie belangrijke gebieden.

Drie soorten

De eerste is politieke spionage, voornamelijk verbonden aan het ministerie van Staatsveiligheid, in feite China’s buitenlandse inlichtingendienst. Vorig jaar bleek dat een groep Chinese hackers met de naam Salt Typhoon ten minste negen Amerikaanse telefoonbedrijven had gekraakt, waardoor ze toegang kregen tot de gesprekken en berichten van belangrijke functionarissen. Ciaran Martin, die van 2016 tot 2020 leiding gaf aan het Britse cyberdefensieagentschap, vergelijkt het met de onthullingen in 2013 van Edward Snowden, die ontdekte dat Amerikaanse spionagediensten op grote schaal aan cyberspionage deden. China “kreeg enorme toegang tot de communicatie van de natie via een strategische spionageoperatie van adembenemende stoutmoedigheid”, zegt hij.

Een tweede soort is hacking die de basis legt voor sabotage op momenten van crisis of oorlog. Dat is vooral de taak van het Volksbevrijdingsleger. In 2023 werd duidelijk dat een aan het Chinese leger verbonden hackersgroep, bekend onder de naam Volt Typhoon, zich gedurende meerdere jaren had ingegraven in een buitengewoon groot aantal Amerikaanse kritieke infrastructuren. Het ging van havens over fabrieken tot waterzuiveringsinstallaties, verspreid over het hele Amerikaanse vasteland, maar ook in strategische overzeese gebieden, zoals Guam.

Dat alles bouwt voort op een derde vorm van Chinese hacking: diefstal van intellectueel eigendom op industriële schaal. Mandiant, een inlichtingendienst voor cyberbedreigingen die nu deel uitmaakt van Google, veroorzaakte in 2013 opschudding toen het ‘APT1’ onthulde, het label voor een groep hackers die banden had met het Volksbevrijdingsleger. APT1 hield zich niet bezig met het stelen van politieke geheimen of het uitschakelen van elektriciteitsnetten, maar aasde op blauwdrukken, productieprocessen en bedrijfsplannen van Amerikaanse bedrijven. Een jaar later klaagde de Amerikaanse overheid vijf Chinese hackers aan voor die activiteiten, een tot dan nooit geziene stap. Keith Alexander, voormalig hoofd van het National Security Agency (NSA), beschreef hun activiteiten als “de grootste overdracht van rijkdom in de geschiedenis”.

Ecosysteem

Die periode eindigde met een gedeeltelijke wapenstilstand. In 2015 kondigden de Amerikaanse president Barack Obama en zijn Chinese tegenhanger Xi Jinping een “gemeenschappelijk akkoord” aan. Geen van beide landen zou aan cyberspionage doen om intellectueel eigendom te stelen. De overeenkomst werkte. Dat soort commerciële spionage nam drastisch af, zij het tijdelijk. En het bleek slechts het begin te zijn van een nieuw tijdperk van politieke spionage en sabotage.

Er kwamen drie grote veranderingen in de hackingprogramma’s van China. De eerste is wie er hackt. In 2015-2016, kort nadat China werd geschokt door de onthullingen van Snowden, herschikte het zijn cybermachten. Het Volksbevrijdingsleger moest zich nog uitsluitend richten op militaire inlichtingen en verkenning. Staatsveiligheid nam het verzamelen van politieke inlichtingen over en deed dat met verve. Het deed ook aan commerciële spionage, zij het op kleinere schaal. “Tegenwoordig is het ministerie van Staatsveiligheid de grote hacker”, schrijft Tom Uren, de auteur van de cybernieuwsbrief Risky Business.

Daarnaast werd het Chinese hacken beter. Tot ongeveer twintig jaar geleden, toen cyberbeveiligingsbedrijven de dreiging begonnen op te sporen, waren Chinese hackers “heel erg luidruchtig”, zegt John Hultquist van Mandiant. “Ze maalden er niet om om alarmen te laten afgaan of gepakt te worden.” Een Europese ambtenaar beaamt dat. Zelfs vijf jaar geleden nog, zegt ze, “werden Chinese cyberhackers niet als erg geavanceerd beschouwd”. Dat is nu veranderd. “De snelheid waarmee ze zich verbeteren, lijkt altijd als een verrassing te komen voor westerlingen, ook al zou dat eigenlijk niet zo mogen zijn”, zegt de ambtenaar. “Als China wil versnellen op een bepaald gebied, dan doet het dat. Het land heeft veel heel slimme mensen.”

Dat wijst op een derde verschuiving. Chinese hacking steunt almaar meer op een groot en bloeiend ecosysteem van privébedrijven. Zij vormen een gigantische pijplijn aan talent voor Chinese cyberoperaties over de hele wereld. Een voorbeeld is de aan het leger verbonden Tianfu Cup in de zuidwestelijke stad Chengdu, die zich heeft ontpopt als een centrum voor dat soort activiteiten. Het is een van de vele wedstrijden waarin technisch onderlegde jongeren hun hackingvaardigheden tonen door zwakke plekken in software te vinden en te misbruiken. China heeft sinds 2004 ongeveer 130 van dat soort evenementen georganiseerd, de meeste na 2014, en vele ondersteund door ministeries.

Zulke evenementen trekken massa’s gegadigden aan. De Wangding Cup wordt georganiseerd door het ministerie van Openbare Veiligheid, dat de leiding heeft over de politie en binnenlandse inlichtingen verzamelt. Het event staat bekend als de ‘cyberveiligheidsolympiade’ en er komen tot 30.000 deelnemers op af. De toernooien dienen als scoutingterreinen voor Chinese spionnen. Een decennium geleden mochten Chinese hackers nog naar zulke wedstrijden in het buitenland reizen; dat is nu aan banden gelegd. De gaten in de veiligheid die ze ontdekken – zwakke plekken in code, die kunnen worden gebruikt om toegang te krijgen – “worden direct doorgesluisd naar het staatsapparaat”, zegt een persoon die bekend is met het proces. In 2021 strafte de overheid Alibaba Cloud, een technologiebedrijf, voor het onthullen van een cyberlek zonder dat eerst aan de staat te melden.

Nog geen oorlog

Die talentenwedstrijden zijn nog maar het begin. Vorig jaar lekten documenten van i-Soon uit op het internet. Daaruit bleek dat het bedrijf functioneerde als een privé-inlichtingendienst met antennes in 23 landen, onder meer in het presidentieel paleis van Nepal, wegenkaartgegevens uit Taiwan, Zuid-Koreaanse telefoonlogs, Indiase immigratiesystemen en de inlichtingendienst van Thailand. I-Soon is een van de vele bedrijven in Chengdu.

De bedrijven zijn geen onstuitbare ninja’s – de gelekte bestanden tonen bewijs van interne ruzies, desorganisatie en falen – maar ze dragen bij aan China’s cybermacht. Zelfs het ministerie van Staatsveiligheid doet voor zijn hackingoperaties een beroep op de tools en infrastructuur van dat soort bedrijven. In hun beginjaren kwamen Chinese hackers “rechtstreeks en zonder veel camouflage uit de netwerken van Sjanghai”, zegt John Hultquist van Mandiant. Tegenwoordig maken ze gebruik van zogenoemde operational relay box-netwerken (ORB), gebouwd en onderhouden door privébedrijven. Die gebruiken besmette apparaten over de hele wereld, zoals internetrouters in gezinswoningen, om de herkomst van de hacking te verhullen.

De toenemende schaal, verfijning en agressie van Chinese hacking is “verreweg de belangrijkste verschuiving in de cyberbedreiging in ruim tien jaar”, merkt Carian Martin op. Volt Typhoon en Salt Typhoon zijn elk “strategische bedreigingen voor het Westen op een schaal die tot nu ongezien is”, waarschuwt hij.

Voorlopig voert China nog geen cyberoorlog. “Wat China onderscheidt van landen als Rusland, Noord-Korea en Iran, is dat die landen routinematig de grens overschrijden tussen spionage en verstoring, en tussen verkenning en regelrechte sabotage”, zegt Hultquist. China heeft “nog nooit de trekker overgehaald”, zegt hij. Zelfs in Amerikaanse infrastructuurnetwerken heeft China nog geen destructieve code geplaatst. “We zien ze de verkenning doen. We zien ze op hun plaats komen. Maar ze laten ons het wapen niet zien.”