Bij de inbraak op het netwerk van beveiligingsbedrijf RSA is een tool gebruikt die door een Chinese hacker is ontwikkeld, aldus Joe Stewart van het Dell SecureWorks onderzoeksteam. Tijdens analyse van de de malware die de aanvallers gebruikten, werd een interessant patroon in het netwerkverkeer ontdekt. Het ging om een foutmelding die Stewart van een redelijk oud programma herkende, genaamd "HUC Packet Transmit Tool" of "HTran".

HTran is een reverse proxy server die communicatie met een command & control kanaal via verschillende onschuldig lijkende servers laat lopen. Het programma is door een bekende Chinese hacker ontwikkeld, die ook lid is van "HUC", de Honker Union of China.

Tijdens analyse van de HTran-foutmeldingen ontdekte het team van Stewart een handvol IP-adressen die naar verschillende Chinese netwerken wezen. De broncode van HTran is echter online te vinden, waardoor het de vraag is of Chinese hackers ook achter de inbraak bij RSA zitten.

China
"Het is niet verrassend dat hackers die een Chinese hackingtool gebruiken vanaf Chinese IP-adressen opereren. De meeste Chinese bestemmings-IP-adressen zijn eigendom van grote internetproviders, waardoor het toeschrijven van de hackingactiviteiten zonder medewerking van de Chinese overheid moeilijk of zelfs onmogelijk is", aldus Stewart in deze analyse.

Daarin geeft hij ook een overzicht van de verschillende IP-adressen die de aanvallers gebruikten en waar systeem- en netwerkbeheerders hun verkeer op kunnen filteren om te zien of het eigen bedrijfsnetwerk is gehackt. RSA ontving deze week tijdens een hackerconferentie nog een prijs, omdat het zo slecht naar buiten toe over de aanval communiceerde.