De Amerikaanse ministerie van Justitie vandaag openlijke aanklachten tegen vier Chinese officieren van de Volk's Bevrijdings Leger (PLA) beschuldigd van het plegen van de hack tegen 2017 van het consumentenkredietbureau Equifax dat leidde tot de diefstal van persoonlijke gegevens op bijna 150 miljoen Amerikanen. DOJ-functionarissen zeiden dat de vier mannen verantwoordelijk waren voor het uitvoeren van de grootste diefstal van gevoelige persoonlijke informatie door ooit door de staat gesponsorde hackers.
De negen-tellende aanklachtnamen Wu Zhiyong (吴志勇) Wang Qian (王 乾) Xu Ke (许可) en Liu Lei (刘磊) als leden van de PLA's 54th Onderzoeksinstituut, een onderdeel van het Chinese leger. Ze worden elk beschuldigd van drie tellingen van samenzwering om computerfraude, economische spionage en draadfraude te plegen.
De regering zegt dat de mannen hun hackactiviteiten hebben vermomd door aanvalsverkeer via 34 servers in bijna 20 landen te routeren, gecodeerde communicatiekanalen in het Equifax-netwerk te gebruiken om zich aan te passen aan normale netwerkactiviteiten en dagelijks logbestanden te verwijderen om bewijs van hun meanderingen te verwijderen via de bedrijfssystemen.
Amerikaanse procureur-generaal Bill Barr zei vandaag op een persconferentie dat het ministerie van Justitie leden van het leger van een ander land normaal niet beschuldigt van misdaden (dit is pas de tweede keer dat het agentschap Chinese militaire hackers heeft aangeklaagd). Maar in een zorgvuldig geformuleerde verklaring die leek te zijn bedoeld om kritiek op eerdere offensieve cyberacties door het Amerikaanse leger tegen buitenlandse doelen af te weren, zei Barr dat de DOJ dit in dit geval deed omdat de beschuldigde massaal op Amerikaanse burgers werd gericht.
"De Verenigde Staten hebben, net als andere landen, in de loop van de geschiedenis inlichtingen verzameld om ervoor te zorgen dat besluitvormers van nationale veiligheid en buitenlands beleid toegang hebben tot tijdige, accurate en inzichtelijke informatie," zei Barr. “Maar we verzamelen alleen informatie voor legitieme doeleinden van nationale veiligheid. We schenden niet zonder onderscheid de privacy van gewone burgers. "
FBI adjunct-directeur David Bowdich wilde de kritiek op de wijsheid aanpakken van het aanklagen van Chinese militaire officieren voor het aanvallen van Amerikaanse commerciële en overheidsbelangen. Enkele beveiligingsexperts hebben opgeladen dat dergelijke aanklachten zowel de impact van de aanklachten kunnen verminderen als Amerikaanse functionarissen open kunnen stellen voor parallelle criminele beschuldigingen van Chinese autoriteiten.
"Sommigen vragen zich misschien af wat het voor zin heeft als deze hackers schijnbaar buiten ons bereik zijn", zei Bowdich. “We beantwoorden deze vraag de hele tijd. We kunnen ze niet in hechtenis nemen, ze berechten voor de rechtbank en ze opsluiten. In ieder geval niet vandaag. Maar op een dag zullen deze criminelen een foutje maken, en als ze dat doen, zullen we er zijn. Wij als wetshandhavers laten hackers niet los, alleen omdat ze halverwege de wereld zijn. "
De procureur-generaal zei dat de aanval op Equifax slechts de laatste was in een lange reeks van cyberspionage-aanvallen die bedrijfsgeheimen en gevoelige gegevens zochten uit een breed scala van industrieën, inclusief managed service providers en hun klanten wereldwijd, evenals Amerikaanse bedrijven in de kernenergie-, metaal- en zonneproductenindustrie.
"Inderdaad, ongeveer 80 procent van onze economische spionage vervolgingen hebben betrekking op de Chinese overheid, en ongeveer 60 procent van alle gevallen van handelsgeheimen in de afgelopen jaren betrof een verband met China," zei hij.
De aanklachten volgen op een conferentie van Amerikaanse regeringsfunctionarissen deze week waarin de omvang van hackingaanvallen met betrekking tot de diefstal van intellectueel eigendom door Chinese entiteiten werd beschreven.
"De FBI heeft ongeveer duizend onderzoeken met betrekking tot China's poging tot diefstal van in de VS gevestigde technologie in alle 56 van onze veldkantoren en verspreid over zowat elke sector en sector," FBI-directeur Christopher Wray naar verluidt vertelde aanwezigen op de bijeenkomst in Washington, DC, de "China Initiative Conference" genoemd.
In een tijd waarin steeds meer strijdlustige handelsbetrekkingen met China gepaard gaan met publieke angst voor de aanhoudende uitbraak van Coronavirus roerende sinofobie in sommige delen van de VS en andere landen maakte Bowdich snel duidelijk dat het rundvlees van de regering bij de Chinese regering was en niet bij de burgers.
"Onze zorg gaat niet uit naar het Chinese volk of de Chinese Amerikaan," zei hij. “Het is met de Chinese regering en de Chinese Communistische Partij. Het direct onder ogen zien van deze dreiging betekent niet dat we geen zaken moeten doen met China, Chinese studenten mogen ontvangen, Chinese bezoekers mogen verwelkomen of naast China mogen bestaan als land op het wereldtoneel. Wat het wel betekent, is dat wanneer China onze strafwetten en internationale normen overtreedt, we ze daar verantwoordelijk voor zullen houden. ”
Een kopie van de aanklacht is beschikbaar hier.
ANALYSE
DOJ-functionarissen prezen Equifax voor hun "nauwe samenwerking" bij het delen van gegevens die onderzoekers hielpen deze whodunnit samen te voegen. Procureur-generaal Barr merkte op dat de verdachte niet alleen persoonlijke en in sommige gevallen financiële gegevens over Amerikanen heeft gestolen, maar ook de handelsgeheimen van Equifax heeft gestolen, waarvan hij zei dat ze "werden belichaamd door de verzamelde gegevens en complexe databaseontwerpen die werden gebruikt om persoonlijke informatie op te slaan."
Hoewel de aankondiging van de DOJ vandaag Equifax in een ietwat sympathiek licht afbeeldt, is het belangrijk om te onthouden dat Equifax herhaaldelijk heeft bewezen een extreem slechte rentmeester te zijn van de zeer gevoelige informatie die het over de meeste Amerikanen heeft.
De acties van Equifax onmiddellijk voor en na de schending ervan op 7 september 2017 onthulde een bedrijf dat zo onbekwaam was in het beheren van zijn publieke reactie dat men het niet kon helpen maar zich afvroeg hoe het zijn interne zaken en veiligheid zou hebben afgehandeld. Equifax en zijn leiderschap schoten inderdaad van de ene vlekkeloze blunder naar de volgende in een reeks debacles die KrebsOnSecurity destijds beschreef als een complete “afvalcontainer'Van een reactie op een inbreuk.
Om te beginnen gaf de website die Equifax had opgezet om consumenten te laten controleren of ze door de inbreuk waren getroffen consequent tegenstrijdige antwoorden, en werd aanvankelijk door sommige webbrowsers gemarkeerd als een potentiële phishing-site.
Om de verwarring te vergroten, vertelde Equifax's Twitter-account op 19 september 2017 aan mensen die op zoek waren naar informatie over de inbreuk om de verkeerde website te bezoeken, die ook door meerdere browsers werd geblokkeerd als phishing-site.
En twee weken na de bekendmaking van de inbreuk, begon Equifax de consumenten te informeren over hun recht om zich in te schrijven voor gratis kredietbewaking - maar de berichten kwamen niet uit het domein van Equifax en waren op veel andere manieren niet te onderscheiden van een poging tot phishing.
Het bleek al snel dat de indringers toegang hadden gekregen tot de systemen van Equifax door een softwarekwetsbaarheid aan te vallen in een server die op internet was gericht en die vier maanden niet was geblokkeerd nadat beveiligingsdeskundigen hadden gewaarschuwd dat de fout breed werd misbruikt. We hebben ook vernomen dat de server in kwestie was gekoppeld aan een online geschillenportaal bij Equifax, die de indringers snel hadden voorzien van hulpmiddelen waarmee ze toegang konden houden tot de systemen van het kredietbureau.
Dit is vooral opmerkelijk omdat op 12 september 2017 - slechts vijf dagen nadat Equifax met zijn schending openbaar werd - KrebsOnSecurity brak het nieuws dat het administratieve account voor een afzonderlijke Equifax-geschillenbeslechtingsportal voor consumenten in Argentinië wijd open stond, beschermd door misschien wel de meest gemakkelijk te raden wachtwoordcombinatie ooit: "admin / admin."
Een gedeeltelijke lijst van actieve en inactieve Equifax-werknemers in Argentinië. Op deze pagina kan iedereen naar believen gebruikers toevoegen of verwijderen of bestaande gebruikersaccounts wijzigen.
Misschien hadden we dit megabereik allemaal moeten zien aankomen. In mei 2017 legde KrebsOnSecurity uit hoe talloze werknemers bij veel grote Amerikaanse bedrijven te maken kregen met fraude met belastingteruggave bij de IRS dankzij een lachwekkend onzekere portal bij Equifax TALX salarisafdeling, die online salaris-, HR- en belastingdiensten levert aan duizenden Amerikaanse bedrijven.
De TALX van Equifax - nu Equifax Workforce Solutions genoemd - hielp belastingdieven door te vertrouwen op verouderde en onvoldoende methoden voor consumentenauthenticatie.
In oktober 2017 liet KrebsOnSecurity zien hoe gemakkelijk het was om de volledige salarisgeschiedenis van een groot deel van de Amerikanen te leren door simpelweg het sofinummer en de geboortedatum van iemand te kennen, dankzij nog een ander Equifax-portaal.
Rond diezelfde tijd leerden we ook dat minstens twee Equifax-managers probeerden te profiteren van de ramp door handel met voorkennis slechts enkele dagen voorafgaand aan de aankondiging van de inbreuk. Juni Ying, De voormalige chief information officer van Equifax, heeft eind augustus 2017 al zijn aandelen in het bedrijf gedumpt, waarmee hij een winst van $ 480,000 realiseerde en een verlies van meer dan $ 117,000 vermeed toen het nieuws van de inbreuk de aandelenkoers van Equifax deed dalen.
Sudhakar Reddy Bonthu, een voormalige manager bij Equifax die was gecontracteerd om het bedrijf te helpen met zijn reactie op de inbreuk, kocht op 86 september 1 2017 "put" -opties in Equifax-aandelen waarmee hij kon profiteren toen de aandelenkoers van het bedrijf daalde. Bonthu was later veroordeeld tot acht maanden huisarrest; Ying kreeg vier maanden gevangenisstraf en een jaar van gecontroleerde release. Beiden werden beboet en / of bevolen hun onrechtmatig verkregen winsten terug te betalen.
Terwijl de aandelenkoers van Equifax in de maanden na de bekendmaking van de inbreuk een grote klap kreeg, hebben aandelen in het bedrijf [NYSE: EFX] behaalde maar liefst 50.5% in 2019, volgens gegevens van S&P Global Market Intelligence.
KrebsOnSecurity heeft lang beweerd dat de inbreuk van 2017 bij Equifax niet het werk was van financieel gemotiveerde identiteitsdieven, omdat er tot nu toe precies nul bewijs is dat iets dat in de buurt komt van de grootte van de datacache die is gestolen van dat incident te koop is verschenen in de cybercriminaliteit onder de grond.
Lezers moeten echter begrijpen dat er talloze andere bedrijven zijn met toegang tot SSN, DOB en andere informatieboeven die krediet op uw naam moeten aanvragen die voortdurend worden gehackt, en dat deze gegevens over heel veel Amerikanen al te koop zijn in heel verschillende cybercrime-bazaars.
Lezers moeten ook weten dat hoewel identiteitsdiefstalbeveiligingsdiensten van het soort aangeboden door Equifax en andere bedrijven u kunnen waarschuwen als boeven een nieuwe kredietlijn in uw naam openen, deze diensten over het algemeen niets doen om die identiteitsdiefstal tegen te houden. Diensten ter bescherming tegen identiteitsdiefstal zijn vooral nuttig om mensen te helpen herstellen van dergelijke misdaden.
Daarom blijft KrebsOnSecurity lezers aanmoedigen om hun kredietbestanden bij Equifax en de andere grote kredietbureaus te bevriezen. Dit proces geeft u de controle over wie krediet op uw naam krijgt. Een bevriezing plaatsen is nu gratis voor alle Amerikanen en hun personen ten laste. Voor meer informatie over hoe dat te doen en wat te verwachten van een bevriezing, zie deze inleiding.
Tags: coronavirus, Schending van Equifax, FBI adjunct-directeur David Bowdich, FBI-directeur Christopher Wray, Juni Ying, Liu Lei, Sudhakar Reddy Bonthu, Amerikaanse procureur-generaal Bill Barr, Amerikaanse ministerie van Justitie, Wang Qian, Wu Zhiyong, Xu Ke
