Leger China zit achter flat vol hackers

n een vervallen buitenwijk van Shanghai, omgeven door restaurantjes en massagesalons, zit het basisstation voor cyberspionage van het Chinese Volksleger. In een twaalf verdiepingen hoog wit kantoorgebouw is Eenheid 61398 gevestigd. Digitaal forensisch bewijs laat er weinig twijfel over bestaan dat het leeuwendeel van de aanvallen op Amerikaanse bedrijven, organisaties en overheidsinstellingen afkomstig is uit dit kantoor in Shanghai.

Dat bewijs staat in een ongebruikelijk gedetailleerd en nog te publiceren rapport van het computerbeveiligingsbedrijf Mandiant. Het wordt bevestigd door specialisten bij de Amerikaanse inlichtingendiensten die al jarenlang de activiteiten volgen van deze eenheid, die bij zijn Amerikaanse slachtoffers bekend staat als de 'Shanghai Groep' of de 'Commentaar Crew' (vanwege codes en commentaar die verborgen op webpagina's worden achtergelaten, red.). Mandiant heeft een exemplaar van zijn 60 pagina's tellende rapport aan The New York Times gegeven "om ruchtbaarheid te geven aan dit onderwerp". Verslaggevers hebben vervolgens de conclusies voorgelegd aan experts, zowel binnen als buiten de regering. Zij delen de overtuiging dat de Chinese staat achter de eenheid zit. Een geheim rapport stelt dat hackers door legerofficieren worden geïnstrueerd of hun opdrachten krijgen van organisaties zoals Eenheid 61398.

In reactie op de bevindingen herhaalt de Chinese ambassade in Washington het standpunt dat de eigen regering zich niet inlaat met hacken en dat China zelf het slachtoffer is van dit soort praktijken. Ook wijst de ambassade erop dat er zich veel groepen hackers in de VS zelf bevinden. Dat is juist. Maar daar stellen veiligheidsexperts tegenover dat het aantal Chinese aanvallen in de afgelopen jaren sterk is toegenomen. Mandiant komt tot 140 stuks sinds 2006, allemaal uitgevoerd door de 'Commentaar Crew'.

Het Witte Huis zegt zich bewust te zijn van het bestaan van het rapport van Mandiant. Een woordvoerder van de Nationale Veiligheidsraad stelt dat "we regelmatig onze zorgen tot op de hoogste niveaus hebben geuit, ook aan vertegenwoordigers van het leger. En daar gaan we mee door." De Amerikaanse regering wil vanaf volgende week een agressievere verdedigingsstrategie gaan volgen. Zo stelt een nieuwe richtlijn de regering in staat om de unieke digitale handtekeningen van deze groepen uit te wisselen met internetproviders. Maar de regering zal niet openlijk verband gaan leggen tussen deze groepen en het Chinese leger. Intern vindt er nog een debat plaats of het verstandig is Eenheid 61398 publiekelijk te noemen en van grootschalige diefstal te beschuldigen. "Diplomatieke gevoeligheden spelen hierbij een rol", aldus een specialist, met frustratie in zijn stem.

Stuxnet

Maar regeringsvertegenwoordigers stellen dat het de bedoeling is om de nieuwe leiders van China in de komende weken duidelijk te maken dat de omvang en geavanceerdheid van de aanvallen zodanig zijn dat het als bedreigend voor de goede verstandhouding tussen Washington en Peking wordt gezien.

Ook de Amerikaanse regering doet overigens aan computeraanvallen. Samen met Israël hebben Amerikaanse cyberspionnen Stuxnet ontwikkeld; kwaadaardige software die bedoeld is om het Iraanse atoomprogramma te ontregelen. Maar volgens regeringsbronnen handelen deze spionnen op basis van strikte regels en zijn aanvallen voor niet-militaire doelen zoals het stelen van bedrijfsgeheimen ten strengste verboden. In hun ogen bevinden de VS zich in een toestand van ongelijke digitale oorlogsvoering met China. "In de Koude Oorlog waren we iedere dag gespitst op de nucleaire commandocentra rond Moskou, nu maken we ons even bezorgd over de computerservers in Shanghai", aldus een van hen.

Het computerbeveiligingsbedrijf Mandiant ontdekte dat projecten van Eenheid 61398 een lange looptijd hadden. Gemiddeld bleef de groep een jaar in een gehackt computernetwerk; in één geval zelfs vier jaar en tien maanden. Mandiant ontdekte hoe de groep plannen, productieprocessen, tests, prijsafspraken, onderhandelingsstrategieën en andere informatie stal bij ruim honderd klanten, voornamelijk in de VS. In totaal gaat het om twintig bedrijfstakken, van defensie en mijnbouw tot telecommunicatie.

Namen van bedrijven worden over het algemeen niet genoemd. Wel bekend is het geval van Coca-Cola dat in 2009 een Chinese overname wilde doen. Terwijl de managers van Coca-Cola onderhandelden over wat hun grootste Chinese overname zou worden, kamden leden van de 'Commentaar Crew' hun computers uit, kennelijk om meer te weten te komen over hun onderhandelingsstrategie. De grootste zorg van Amerikaanse onderzoekers is dat Eenheid 61398 niet langer alleen informatie wil stelen, maar ook uit is op de computers waarmee Amerikaanse infrastructuur kan worden bestuurd. President Obama refereerde aan deze zorg in zijn laatste State of the Union-toespraak, overigens zonder China te noemen. "We weten dat er landen en buitenlandse bedrijven zijn die achter onze bedrijfsgeheimen aanzitten. Nu zijn er ook vijanden die ons elektriciteitssysteem willen saboteren, van onze financiële instellingen en van onze luchtvaartverkeerssystemen. We kunnen het ons niet permitteren dat we over een aantal jaren ons afvragen waarom we daar nu niets aan hebben gedaan."

De president staat voor een lastige vraag: is het in de relatie met China, die tussen de eerste en de tweede economie ter wereld, de moeite waard om een confrontatie aan te gaan over hacken? Maar er is wel iets veranderd. Enkele jaren geleden wekte de diefstal van intellectuele eigendom vooral ergernis. Het zich opstapelende bewijs over de rol van de staat en de toegenomen bedreiging voor de Amerikaanse infrastructuur leidt bij vooraanstaande functionarissen tot de conclusie dat nu een veel scherper antwoord noodzakelijk is. 'Op dit moment is er geen prikkel voor de Chinezen om hiermee op te houden", aldus Mike Rogers, de Republikeinse voorzitter van de parlementscommissie voor inlichtingenzaken. "Als we geen hoge prijs erop zetten, zal dit alleen maar verder toenemen."