Vorige week lag het wekelijkse gemiddelde van wereldwijde aanvallen afkomstig uit China per organisatie 72 procent hoger dan voor de invasie en 60 procent hoger dan in de eerste drie weken van het conflict. Vorige week lag het wekelijkse gemiddelde van cyberaanvallen vanuit China op bedrijfsnetwerken van de NAVO 116 procent hoger dan vóór de invasie, en 86 procent hoger dan in de eerste drie weken van de oorlog. De toename is aanzienlijk groter dan de algemene wereldwijde toename van cyberaanvallen in dezelfde periode.
Check Point Research (CPR) stelt vast dat cyberaanvallen vanaf Chinese IP-adressen en gericht op NAVO-landen stegen met 116 procent, wereldwijde aanvallen stegen met 72 procent. CPR kan de cyberaanvallen niet toeschrijven aan specifieke Chinese entiteiten of aan een bekende Chinese dreigingsactor. De observatie duidt op een trend dat hackers, waarschijnlijk binnen China en daarbuiten, na het uitbreken van de oorlog tussen Rusland en Oekraïne steeds vaker Chinese IP-adressen gebruiken als bron voor cyberaanvallen.
Kwaadaardige activiteit
Tom De Laet, Incident Response Team Lead EMEA Check Point Software, zegt: “Naarmate het conflict tussen Rusland en Oekraïne verder escaleert, zijn we attenter geworden op cyberaanvallen afkomstig uit China. We zien een aanzienlijke toename van cyberaanvallen die afkomstig zijn van Chinese IP-adressen. Het is belangrijk om te onderstrepen dat we ze niet kunnen toeschrijven aan specifieke Chinese entiteiten, daarvoor hebben we meer bewijs nodig. Maar wat wel duidelijk is, is dat hackers Chinese IP-adressen gebruiken om wereldwijd cyberaanvallen uit te voeren, vooral in NAVO-landen. Zo lag het wekelijkse gemiddelde van cyberaanvallen vanuit China op bedrijfsnetwerken in Nederland vorige week 109 procent hoger dan vóór de Russische invasie in Oekraïne en 97 procent hoger dan in de eerste drie weken van het conflict. De IP’s worden waarschijnlijk gebruikt door hackers in China en daarbuiten. De trend kan vele betekenissen hebben. Zo kan de toename een indicatie zijn van het feit dat het momenteel het makkelijkst of goedkoopst is om een kwaadaardige activiteit op te zetten vanuit China of dat China momenteel de meeste opportuniteit biedt om de werkelijke oorsprong van een aanval te verbergen. Het kan ook aangeven hoe het wereldwijde cyberverkeer op dit moment wordt gerouteerd. CPR zal de komende weken dieper ingaan op deze trendobservatie. Voor nu melden we alleen informatie over wat we zien.”
Volg Security Management op LinkedIn