Het Belgische cyberbeveiligingsagentschap heeft door China gesponsorde hackers in verband gebracht met aanvallen op prominente politici, nu Europese regeringen steeds meer bereid zijn Peking uit te dagen wegens vermeende cyberinbreuken.

Samuel Cogolati, een lid van het Belgische parlement, werd vorige maand door de autoriteiten genoemd als het onderwerp van een cyberaanval rond januari 2021 toen hij een resolutie schreef waarin hij waarschuwde voor “misdaden tegen de menselijkheid” tegen Oeigoerse moslims in China.

In een brief die in de Financial Times is ingezien, schreef het Centrum voor Cyberbeveiliging België (CCB) dat het was geïnformeerd dat een bepaalde Chinese staatsactor genaamd “APT31” hoogstwaarschijnlijk achter de zogenaamde spear phishing-aanvallen zat.

De bereidheid van cyberautoriteiten om Chinese statelijke actoren te noemen en hen in verband te brengen met specifieke aanvallen, komt nu Europese cyberinstellingen hun vroegere onwil verliezen om China op de hoogte te stellen van vermeende incidenten.

Het Belgische ministerie van Buitenlandse Zaken nam vorig jaar de ongebruikelijke stap om de Chinese regering te vragen haar kwaadaardige cyberactiviteiten in toom te houden. De EU waarschuwt ook voor een Chinese aanval in 2021.

Christopher Ahlberg, mede-oprichter van cyberinlichtingenbedrijf Recorded Future, zei dat dergelijke snode activiteiten van aan China gelieerde groepen de afgelopen jaren “naar Europa zijn overgegaan”.

Maar landen weigeren vaak openlijk aanvallen met China in verband te brengen, voegde Ahlberg eraan toe, uit angst de banden met grote economische machten te verstoren.

“Voor een klein land als België is dat best dapper. Bijna geen van de Europese landen schreef de aanslagen vier tot vijf jaar geleden toe aan China. Aanhoudende klachten zijn voor China steeds moeilijker te negeren”, voegde Ahlberg eraan toe.

Terwijl Cogolati aan de Oeigoerse resolutie werkte, ontving hij een e-mail van een nepnieuwsorganisatie die beweerde informatie te hebben over mensenrechtenschendingen in China. Cogolati realiseerde zich pas het belang van het bericht nadat het was gemarkeerd door de Belgische cyberbeveiligingsdienst.

“We hebben reden om aan te nemen dat deze reeks e-mails afkomstig is van APT31, een bedreigingsactor die gelinkt is aan China en die interesse heeft getoond in mensen die kritiek uiten op de acties van de Chinese Communistische Partij”, schreef CCB.

CCB liet de FT later weten dat een bron APT 31 aan de activiteit had gekoppeld, maar dat de betrokkenheid “niet door CCB kon worden bevestigd” met volledige zekerheid.

Cogolati, die de waarschuwing van de CCB bevestigde, zei dat het belangrijkste doel nu was om “de omvang van de cyberaanvallen van China op mijn land volledig uit te leggen”.

De e-mailaanvallen die Cogolati ontving, namen de vorm aan van spear phishing-campagnes, waarbij aanvallers e-mails ontwierpen om zich op een specifieke groep slachtoffers te richten.

De kenmerkende zet van APT31 is het toevoegen van een “trackingpixel”, vaak gebruikt in marketing, in een afbeelding die is bijgevoegd bij een e-mail, die algemene gegevens over de IT-configuratie van het slachtoffer terugstuurt. De aanvaller zal vervolgens vervolgen met verdere e-mails met kwaadaardige links of bijlagen die zijn gepersonaliseerd voor het systeem van het slachtoffer.

Sessie van het Belgische parlement in mei 2021 met Oeigoerse slachtoffers moest worden uitgesteld nadat het parlement was gesloten door een massale cyberaanval.

“We moedigen cyberaanvallen niet aan, ondersteunen of stimuleren deze niet. We verwerpen de onverantwoordelijke opmerkingen van Belgische zijde”, zei een woordvoerder van het Chinese ministerie van Buitenlandse Zaken in reactie op de beschuldiging van België uit 2022.

In antwoord op een verzoek om commentaar op de laatste Belgische beweringen, zei de Chinese ambassade in België: “We verwerpen de onverantwoordelijke bewering van Belgische zijde dat een ‘Chinese hackergroep’ ‘kwaadaardige cyberactiviteiten’ uitvoert.”