Google doet niet langer mee aan de censuur die de Chinese overheid oplegt. Deze beslissing werd genomen na een aanval op Google-servers afgelopen december, gericht op Chinese mensenrechtenactivisten. Dat kan leiden tot het opdoeken van Google.cn, de Chinese variant van de zoekmachine.

"Deze aanvallen en de spionage die hierbij werd blootgelegd, gecombineerd met de pogingen om afgelopen jaar de vrijheid van meningsuiting online verder te beperken, heeft ons doen concluderen dat we de haalbaarheid van onze activiteiten in China moeten heroverwegen", schrijft David Drummond, hoofdjurist van Google in een blogpost. Halverwege december ontdekte het bedrijf een 'zeer gerichte en geavanceerde aanval' op hun infrastructuur vanuit China. Dit resulteerde in de diefstal van persoonlijke data. Wat er precies is ontvreemd maakt Drummond niet bekend.

Doel: bedrijfsgeheimen en broncodes

Later ontdekte Google dat het niet het enige bedrijf is dat werd aangevallen. "Tijdens het onderzoek ontdekten we dat er minimaal twintig andere grote bedrijven in verschillende sectoren - inclusief internetbedrijven, de financiële sector, technologiebedrijven, media en de chemische sector - op dezelfde manier zijn aangevallen", aldus Drummond. Google is bezig de bewuste bedrijven te informeren en werkt samen met de Amerikaanse overheid.

Gat in Adobe PDF

Volgens beveiligingsbedrijf iDefense werden er geen 20 maar 33 bedrijven aangevallen in december. Naast de genoemde sectoren zouden ook militaire leveranciers zijn aangevallen. Deze aanvallen waren gericht op het stelen van broncode, meldt Wired. De hackers gebruikten een zero-day gat in Adobe Reader om malware bij de bedrijven binnen te brengen. Vaak waren hackers succesvol in het stelen van de gezochte broncode, stelt iDefense.

Zelfde servers

De aanval lijkt sterk op een grootschalige aanval op Amerikaanse bedrijven van juli vorig jaar. Toen lagen ongeveer 100 it-bedrijven onder vuur.Ook destijds werden er malafide pdf's gestuurd. Hoe succesvol die aanval was is onduidelijk. De gebruikte malware komt echter niet overeen, zegt iDefense. Maar er werd wel verbinding gezocht met vergelijkbare command-and-control servers.

De servers maakten in allebei de gevallen gebruik van HomeLinux DynamicDNS om ip-adressen te genereren. Ook wezen de servers in beide gevallen naar een subset van ip-adressen die eigendom zijn van Linode, een Amerikaanse hoster die Virtual Private Server hosting aanbiedt. "De ip-adressen waar het om gaat liggen zes ip-nummers van elkaar af", zegt iDefense."Dit in acht genomen kan erop wijzen dat de twee aanvallen één en dezelfde zijn en dat de organisaties in de aanval van afgelopen juni tot nu toe kwetsbaar zijn geweest."

Meerdere accounts

iDefense wilde niet bekend maken welke bedrijven er zijn aangevallen, behalve Adobe. Adobe bevestigt zelf in een blogpost dat de aanval op 2 januari werd ontdekt. De softwaremaker spreekt van een "geavanceerde en gecoördineerde aanval tegen bedrijfsnetwerken die worden beheerd door Adobe en andere bedrijven". Het bedrijf brengt deze aanval niet in verband met de aanval op Google, maar volgens Wired werd de blogpost 'een paar minuten' na de mededeling van Google online gezet.

Hoe de aanvallers binnen kwamen maken Google en Adobe niet bekend. Volgens Google was het primaire doel van de aanval het binnendringen van de Gmail-accounts van Chinese mensenrechtenactivisten. Drummond schrijft dat er tot twee accounts toegang werd verschaft en dat alleen account-informatie werd ontvreemd. De inhoud van de e-mails bleef onaangeroerd. Los van deze aanval ontdekte Google dat er 'tientallen' Gmail-accounts van andere mensenrechtenactivisten in de VS, China en Europa 'routineus zijn bezocht door derden'. Dit ligt waarschijnlijk aan een phishing-aanval en niet aan een beveiligingslek.

Zero-day exploit

Volgens iDefense kregen de hackers toegang tot de bedrijfsnetwerken door e-mails te sturen naar bepaalde werknemers met een kwaadaardig pdf-document. De kwaadaardige code exploiteerde vervolgens het zero-day gat in Adobe Reader. Voor die kwetsbaarheid is op dit moment nog geen adequate remedie voorhanden. Adobe maakte in december bekend dat er een zero-day gat in reader en Acrobat actief werd misbruikt. Het gat werd door onafhankelijke beveiligingsexperts ontdekt. Na de aanval kondigde Adobe aan dat het gat wordt gepatcht. Het gat is inmiddels gedicht.

In het geval van de Google-hack heeft een ontvanger de kwaadaardige pdf geopend. Hierdoor werd een Tojan geïnstalleerd op de computer van het slachtoffer in de vorm van een Windows DLL, aldus iDefense. DLL-bestanden zijn essentiële componenten voor de werking het besturingssysteem. Google ontdekte dat de malware communiceerde met een server waar de gestolen informatie naartoe werd gesluisd. Door de server te onderzoeken kwam Google erachter dat er ook andere bedrijven werden aangevallen.

'Broncode Google was doelwit'

iDefense heeft gewacht op Google met het bekendmaken van de details. Een woordvoerster van het beveiligingsbedrijf zegt tegen Wired dat volgens haar de broncode van Google het doelwit was in de aanval. De zoekmachinegigant heeft daar nog niet op gereageerd. Ook Adobe gaat niet specifiek in op het stelen van broncode maar zegt dat 'er geen bewijs is dat enige gevoelige informatie - inclusief informatie over klanten, financiële informatie, gegevens over werknemers of enige andere gevoelige data - in gevaar is geweest' tijdens de aanval.

Google reageert door niet meer mee te werken met de censuur van de Chinese overheid. "We realiseren ons terdege dat dit kan betekenen dat we Google.cn moeten opdoeken en potentieel onze Chinese kantoren moeten sluiten", schrijft Drummond. Dat zou een opmerkelijk gevolg zijn omdat Google veel heeft geïnvesteerd in de Chinese markt.

Steun van mensenrechtenorganisaties

Het besluit van Google niet meer te buigen voor de Chinese staatscensuur wordt toegejuicht door bewakers van de vrijheid van meningsuiting en mensenrechten. "We hopen dat andere bedrijven Google's voorbeeld zullen volgen. Er zijn er teveel die moedwillig meewerken met de Chinese eisen en hun normen en waarden achter laten bij de grens", zegt de Electronic Frontier Foundation in een reactie.

Update: De Amerikaanse regering eist een verklaring van Peking over de cyberaanval.