Chinese inbraak- en spionagebedrijf I-SOON maakte slachtoffers in diverse landen

Dit blijkt uit een analyse van de documenten door cybersecurity-onderzoekers van HarfangLab, met als doel inzicht te krijgen in de organisatie, tactieken, tools, doelwitten en klanten van het Chinese cybersecuritybureau. De analyse toont de vervaging tussen privébedrijven en Chinese overheidsdiensten, waarbij I-SOON zelfs vaardigheden uitleent aan bepaalde overheidsinstanties.

Sinds 2010 actief

I-SOON is een privaat bedrijf dat in 2010 is opgericht in Shanghai. Het heeft ongeveer 70 werknemers en 3 dochterondernemingen. De missie van het bedrijf is, zoals vermeld op de officiële website, om "een robuuste kracht voor nationale defensie te worden, met een sterk gevoel voor politieke verantwoordelijkheid en een geest van hoge verantwoordelijkheid tegenover de partij en het volk".

Het bedrijf is een gecertificeerde leverancier van het Defence and Cyber Security Bureau van het Chinese Ministerie van Openbare Veiligheid voor het leveren van "tools, technologieën en apparatuur". Het bedrijf heeft het equivalent van een veiligheidsmachtiging gekregen. Klanten zijn voornamelijk overheidsinstanties, met name openbare veiligheidsdiensten en -departementen in verschillende provincies en autonome regio's. Een lijst van klanten is als bijlage toegevoegd aan het volledige rapport van de onderzoekers van HarfangLab.

De onderzoekers van HarfangLab beoordelen de documenten als geloofwaardig en authentiek. Wel wijzen zij erop dat het voornamelijk gaat om commerciële informatie, die niet noodzakelijkerwijs volledig is en door zijn aard een zekere mate van verfraaiing van de feiten met zich mee kan brengen.

Kant-en-klare tools en diensten

I-SOON biedt een heel scala aan kant-en-klare tools en diensten: toegang tot een organisatie via malware, teruggevonden documenten van organisaties, maar ook een aanbod dat een volledige analyse van de teruggevonden documenten omvat. I-SOON handelt als een inlichtingenbedrijf en biedt de hele keten aan van het verschaffen van toegang, tot het verzamelen van inlichtingen.

Het bedrijf handelt reactief op basis van vraag, maar ook proactief dringt het systemen binnen en verzamelt het gegevens die I-SOON vervolgens aanbiedt aan zijn prospects. Naast het uitvoeren van cyberacties vanuit hun eigen infrastructuren, stuurt het ook experts naar de locaties van hun klanten, zodat ze operaties kunnen uitvoeren vanuit de infrastructuren en entiteiten van hun klanten. Dit illustreert volgens HarfangLab de dubieuze relatie tussen particuliere bedrijven en de Chinese overheidsdiensten.

De catalogus van I-SOON bevat een reeks malware en backdoors ontworpen voor hun klanten. De gesprekken in de geanalyseerde bestanden suggereren dat het bedrijf externe serviceproviders gebruikt en niet zelf de malware ontwikkelt die het gebruikt of verkoopt. HarfangLab noemt het vooral interessant om te zien dat de I-SOON catalogus geen zero-day kwetsbaarheden in software bevat. Een analyse van de aangeboden tools toont aan dat ze voornamelijk open-source tools verkopen die herverpakt zijn om ze gemakkelijker in gebruik te maken.

Verfijning van relatieve tools

De grootste uitdaging is niet het binnendringen van de systemen van het doelwit, maar het verwerken van de hoeveelheid verzamelde informatie. De kernactiviteit van I-SOON is het ontwikkelen van talloze platforms en analysesystemen om klanten, en waarschijnlijk het bedrijf zelf, te helpen bij het verwerken van gestolen gegevens. Ze zijn ook gespecialiseerd in het faciliteren van inbraakwerk en het organiseren van cyberoperaties.

I-SOON biedt onder meer het vermogen om enorme hoeveelheden gegevens te verwerken en analyseren door het creëren van eigen business intelligence tools met behulp van AI en Deep Learning. Het lijkt erop dat er verschillende platforms met dezelfde architectuur zijn ontwikkeld voor het verzamelen van informatie. Dit is in lijn met een voorspelling van de onderzoekers van HarfangLab eerder dit jaar. Zij voorspelden toen dat bedreigingsactoren AI-mogelijkheden niet zullen gebruiken om gegevens te verzamelen, maar om gestolen gegevens te verwerken, sorteren en filteren.

Van surveillance tot spionage

I-SOON is niet gespecialiseerd in het verzamelen van één bepaald soort informatie. De activiteiten variëren van binnenlandse surveillance (het verzamelen van informatie over etnische minderheden zoals de Oeigoeren, het hacken van platforms voor de verkoop van drugs of online weddenschappen, etc.) tot spionage (militaire inlichtingendienst, binnendringen in telecommunicatienetwerken, universiteiten, denktanks, etc.).

De victimologie van I-SOON is extreem breed en internationaal. Dit is vooral indrukwekkend gezien de omvang van het bedrijf en het lage niveau van geavanceerdheid van de inbraakmiddelen. Afgezien van binnenlandse surveillanceoperaties, valt het grootste aantal slachtoffers in Azië, rond China. In Europa is het Verenigd Koninkrijk het land met het grootste aantal slachtoffers (vooral veel ministeries). In Frankrijk is Sciences-Po het enige slachtoffer dat in de dossiers wordt genoemd. De andere Europese slachtoffers bevinden zich in Roemenië en Macedonië.

Na de analyse van de volledige reeks activiteiten van I-SOON werden verbanden gelegd met campagnes die eerder door andere cyberbeveiligingsbedrijven aan APT's (advanced persistent threat) werden toegeschreven. Ivan Kwiatkowski, Lead Threat Researcher bij HarfangLab legt uit: "Dit datalek geeft ons een unieke kijk in de innerlijke werking van een APT-groep en de structuur van het Chinese cyber-ecosysteem. De productcatalogi van het bedrijf zijn bijzonder interessant, omdat ze laten zien dat het voor I-SOON geen uitdaging is hoe het zijn doelwitten kan binnendringen, maar hoe het de hoeveelheid gestolen gegevens kan verwerken. Ondanks het gebruik van weinig geraffineerde methoden, zijn aanvallers in staat geweest om massale wereldwijde campagnes uit te voeren die hooggeplaatste doelwitten op elk continent hebben getroffen. Voor verdedigers zou dit een waarschuwing moeten zijn.”

Het volledige rapport is hier beschikbaar.