Chinese staatshackers hebben meer dan een jaar onopgemerkt toegang gehad tot een doelwitnetwerk door een onderdeel van de populaire geo-mappingtool ArcGIS te misbruiken. Dat blijkt uit een rapport van het cybersecuritybedrijf ReliaQuest, dat de aanval toeschrijft aan de Chinese spionagegroep Flax Typhoon.
Geo-mappingtool
ArcGIS, ontwikkeld door het Amerikaanse bedrijf Esri, is een geavanceerde geo-mappingtool die wereldwijd wordt gebruikt door gemeenten, nutsbedrijven en infrastructuurbeheerders om geografische gegevens te verzamelen en te analyseren. De software ondersteunt zogenaamde Server Object Extensions (SOE’s), waarmee gebruikers extra functies kunnen toevoegen. Precies die mogelijkheid bleek de zwakke plek in de beveiliging.
ArcGIS-server
Volgens ReliaQuest wisten de hackers met geldige beheerdersgegevens in te loggen op een publiek toegankelijke ArcGIS-server, die gekoppeld was aan een intern netwerk. Vervolgens uploaden zij een kwaadaardige Java SOE, die functioneerde als web shell — een achterdeur waarmee commando’s konden worden uitgevoerd via de API van de software. De communicatie verliep versleuteld en beveiligd met een geheime sleutel, zodat alleen de aanvallers toegang hadden.
Daarmee bleef de groep niet alleen onder de radar, maar kon ze haar invloed verder uitbreiden. Via de web shell installeerden de hackers SoftEther VPN Bridge, een legitieme VPN-oplossing die werd geregistreerd als Windows-service en automatisch opstartte bij het aanzetten van het systeem. Deze VPN creëerde een HTTPS-tunnel op poort 443 — dezelfde die regulier internetverkeer gebruikt — waardoor de kwaadaardige activiteit nauwelijks te onderscheiden was van normaal netwerkverkeer.
Beheerderswachtwoorden
Zelfs als de web shell werd ontdekt en verwijderd, bleef de VPN actief. Zo konden de aanvallers lateraal bewegen binnen het netwerk, gegevens stelen en beheerderswachtwoorden buitmaken. ReliaQuest zag onder meer pogingen om de Security Account Manager (SAM)-database en LSA-secrets van IT-medewerkers te bemachtigen.
Flax Typhoon
Volgens de onderzoekers toont dit incident een nieuwe fase in de tactieken van Flax Typhoon, die al langer gebruikmaakt van legitieme software om onzichtbaar te blijven. Esri bevestigt dat dit de eerste keer is dat een SOE op deze manier wordt misbruikt, en kondigde aan zijn documentatie te zullen bijwerken om klanten te waarschuwen voor het risico van malafide extensies.
Deze aanval onderstreept opnieuw hoe geraffineerd staatshackers te werk gaan — door vertrouwde geo-mappingtools te veranderen in sluiproutes voor digitale spionage.