De hackers die bij Amerikaanse organisaties en westerse bedrijven wisten in te breken en onderdeel van het Chinese leger zouden zijn, gebruikten een zwak wachtwoord om hun controleserver te beveiligen. In februari beschuldigde het Amerikaanse beveiligingsbedrijf Mandiant China van cyberspionage. Een groep hackers genaamd APT1 zou achter een grootschalige spionagecampagne zitten.

De locatie waar de hackers vanuit opereerden zou overeenkomen met die van de Chinese legereenheid Unit 61398. De Chinese regering ontkende de aantijgingen en ook experts hebben twijfels over het rapport van Mandiant.

Onderzoek
Het Luxemburgers beveiligingsbedrijf itrust consulting besloot naar aanleiding van het onderzoeksrapport van Mandiant een eigen onderzoek in te stellen. Daarbij werd van twee feiten uitgegaan. Namelijk dat de aanvallers de Poison Ivy Remote Administration Tool (RAT) gebruikten en zich in China bevonden.

De onderzoekers hadden zichzelf als doel gesteld om de werkwijze van de aanvallers te achterhalen. Hiervoor was het nodig om toegang tot de Command & Control (C&C)-server te krijgen waarmee de aanvallers besmette computers aanstuurden.

Wachtwoord
In 2010 werd bekend dat er een kwetsbaarheid in de Poison Ivy tool zit. Een exploit die van dit beveiligingslek misbruik maakt, en waardoor het mogelijk is om Poison Ivy-servers over te nemen, is aan hackertool Metasploit toegevoegd. Deze exploit bleek niet te werken tegen de Poison Ivy-installatie die de APT1-hackers gebruikten.

Daarom werd besloten de encryptiesleutel via 'brute force' te kraken. Via internet werd achterhaald dat Poison Ivy het Camellia encyptie-algoritme gebruikt. Vervolgens werd een uitbreiding voor John the Ripper ontwikkeld. Dit is een open source wachtwoordkraker. Door de uitbreiding was het mogelijk om ook de Camellia encryptie te brute forcen.

Hierdoor ontdekten de onderzoekers dat de APT1-hackers als wachtwoord 'pswpsw' gebruikten. Met zes karakters geen veilig wachtwoord. Via het wachtwoord konden de onderzoekers uiteindelijk op de server van de hackers inloggen en zo meer inzicht in de werkwijze krijgen.

Proxy
Zo bleek dat de aanvallers voor elk doelwit een aparte proxy en Poison Ivy-server gebruikten. Als het doelwit het IP-adres van een proxy ontdekte, werd dit IP-adres aan een ander doelwit toegekend. "Daarom is het van groot belang om de IP-adressen van C&C-servers te delen", stellen de onderzoekers.

De doelwitten bestonden uit private en publieke bedrijven, politieke instellingen, activisten, instanties en journalisten. Op de besmette computers zochten de hackers naar PowerPoint, Excel, Word, PDF en JPG-bestanden. Zo werden documenten met netwerkdiagrammen, interne IP-adressen, wachtwoorden en security policies aangetroffen.

Inlichtingen
In totaal zouden de aanvallers meer dan 300 servers hebben ingezet en waren ze vooral tijdens kantooruren actief. "Net als kantoormedewerkers", merken de onderzoekers op.

"De in het rapport beschreven infrastructuren zijn erg kostbaar, maar inlichtingen zijn een echt probleem. Mensen of organisaties blijken er geen probleem mee te hebben om voor dit soort illegaal verkregen informatie te betalen", besluit het rapport.