Een internationale coalitie van veiligheidsdiensten en inlichtingendiensten waarschuwt voor een grootschalige Chinese cyberspionagecampagne. Volgens een gezamenlijk advies van onder meer CISA, NSA, FBI en Europese partners hebben Chinese staatsgesteunde hackers sinds 2021 wereldwijd telecombedrijven, overheden, transport, defensie en hotelsystemen aangevallen.

De aanvallers richten zich vooral op routers van grote telecomproviders. Ze weten via bekende kwetsbaarheden langdurige toegang te verkrijgen. Daarbij gaat het niet om onbekende zero-days, maar om publiek gedocumenteerde lekken in apparatuur van onder andere Cisco, Palo Alto en Ivanti. Door configuraties aan te passen en extra beheerkanalen te openen, behouden de hackers toegang. Ze kunnen netwerkverkeer aftappen, accounts overnemen en gegevens exfiltreren via tunnels en versleutelde verbindingen.

Wat de campagne bijzonder zorgwekkend maakt, is dat ook organisaties die niet direct interessant zijn voor spionage worden misbruikt als springplank naar andere netwerken. Daarmee groeit het risico dat elk bedrijf met slecht beveiligde edge-apparatuur slachtoffer kan worden.

Routers te vaak blinde vlek

De betrokken diensten benadrukken dat patchen van routers en firewalls de eerste verdedigingslinie vormt. Verder is het isoleren van beheernetwerken, het aanscherpen van toegangscontrole en het actief monitoren van configuraties en logbestanden cruciaal. Het advies maakt duidelijk dat routers vaak nog een blinde vlek zijn in beveiligingsbeleid, terwijl zij juist de sleutel vormen tot grootschalige datadiefstal.

De publicatie, waarin meer dan twintig landen samenwerken, onderstreept de internationale urgentie van dit probleem. Voor organisaties luidt de boodschap dat zij hun netwerkapparatuur niet langer als vanzelfsprekend veilig mogen beschouwen. Alleen met strikte controle en onderhoud kan worden voorkomen dat routers de stille motor worden van een wereldwijde spionageoperatie.