>
Research (Insikt)

Chinese State-Sponsored Group ‘RedDelta’ Targets the Vatican and Catholic Organizations

Veröffentlicht: 28. Juli 2020
Von: Insikt Group®
China

insikt-group-logo-aktualisiert-3.png

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Die Forscher der Insikt Group ® verwendeten die proprietäre Recorded Future Network Traffic Analysis und RAT-Controller-Erkennung sowie gängige Analysetechniken, um eine Cyberspionage-Kampagne zu identifizieren und zu profilieren, die einer mutmaßlich vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppe zugeschrieben wird, die wir unter dem Namen RedDelta verfolgen.

Zu den Datenquellen gehören die Recorded Future ® -Plattform, DNSDB von Farsight Security, SecurityTrails, VirusTotal, Shodan, BinaryEdge und gängige OSINT-Techniken.

Dieser Bericht dürfte vor allem für Netzwerkverteidiger des privaten und öffentlichen Sektors sowie für in Asien präsente Nichtregierungsorganisationen von Interesse sein, ebenso wie für alle, die sich für die chinesische Geopolitik interessieren.

Executive Summary

Seit Anfang Mai 2020 gerieten unter anderem der Vatikan und das katholische Bistum Hongkong unter die zahlreichen mit der katholischen Kirche verbundenen Organisationen, die von RedDelta ins Visier genommen wurden, einer vom chinesischen Staat gesponserten und von der Insikt Group verfolgten Bedrohungsaktivitätsgruppe. Diese Reihe mutmaßlicher Netzwerkeinbrüche zielte auch auf die Hong Kong Study Mission in China und das Päpstliche Institut für Außenmissionen (PIME) in Italien ab. Vor dieser Kampagne wurde nicht öffentlich bekannt gegeben, dass diese Organisationen Ziele chinesischer Bedrohungsgruppen sind.

Diese Netzwerkeinbrüche ereigneten sich im Vorfeld der für September 2020 erwarteten Erneuerung des bahnbrechenden vorläufigen Abkommens zwischen China und dem Vatikan aus dem Jahr 2018, ein Abkommen, das der Kommunistischen Partei Chinas (KPCh) Berichten zufolge mehr Kontrolle und Aufsicht über die seit jeher verfolgte katholische „Untergrundgemeinde“ des Landes verschaffte. Neben dem Heiligen Stuhl selbst ist wahrscheinlich auch der derzeitige Leiter der Hongkonger Studienmission in China im Visier der Kampagne. Dessen Vorgänger soll bei der Einigung von 2018 eine entscheidende Rolle gespielt haben.

Das mutmaßliche Eindringen in den Vatikan würde RedDelta Einblick in die Verhandlungsposition des Heiligen Stuhls vor der Erneuerung des Abkommens im September 2020 bieten. Die gezielten Angriffe auf die Hong Kong Study Mission und ihre katholische Diözese könnten zudem eine wertvolle Geheimdienstquelle darstellen, um sowohl die Beziehungen der Diözese zum Vatikan als auch ihre Haltung zur Demokratiebewegung in Hongkong angesichts der weit verbreiteten Proteste und des jüngsten umfassenden nationalen Sicherheitsgesetzes von Hongkong zu überwachen.

Zwar gibt es erhebliche Überschneidungen zwischen den beobachteten TTPs von RedDelta und der Bedrohungsaktivitätsgruppe, die öffentlich als Mustang Panda bezeichnet wird (auch bekannt als BRONZE PRESIDENT und HoneyMyte), aber es gibt ein paar bemerkenswerte Unterschiede, die uns dazu bewegen, diese Aktivität als RedDelta zu bezeichnen:

  • Die von RedDelta in dieser Kampagne verwendete PlugX-Version verwendet eine andere C2-Verkehrsverschlüsselungsmethode und verfügt über einen anderen Konfigurationsverschlüsselungsmechanismus als herkömmliches PlugX.
  • Es wurde nicht öffentlich bekannt gegeben, dass Mustang Panda die in dieser Kampagne eingesetzte Malware-Infektionskette verwendet hat.

Zusätzlich zu den Angriffen auf Einrichtungen mit Verbindungen zur katholischen Kirche stellte die Insikt Group auch fest, dass RedDelta gezielt Strafverfolgungs- und Regierungsbehörden in Indien sowie eine Regierungsorganisation in Indonesien ins Visier nahm.

reddelta-zielt-auf-katholische-organisationen-1-1.png

Abbildung 1: Auswahl der Hauptunterschiede zwischen PlugX-Varianten und der von RedDelta und Mustang Panda verwendeten Infektionskette.

Wichtige Urteile

  • Dass gezielt Einrichtungen angegriffen werden, die mit der katholischen Kirche in Verbindung stehen, deutet wahrscheinlich darauf hin, dass die KPCh die Kontrolle über die katholische Untergrundkirche festigen,die Religionen in China „sinisieren“ und den wahrgenommenen Einfluss des Vatikans innerhalb der katholischen Gemeinschaft Chinas verringern möchte.
  • Da RedDelta gezielt Organisationen ins Visier nimmt, die stark den strategischen Interessen Chinas folgen, gemeinsame Tools verwendet, die traditionell von in China ansässigen Gruppen genutzt werden, und es Überschneidungen mit einer mutmaßlich vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppe gibt, geht die Insikt Group davon aus, dass die Gruppe wahrscheinlich im Auftrag der Regierung der Volksrepublik China (VRC) operiert.
  • Die identifizierten RedDelta-Eindringlinge weisen Überschneidungen hinsichtlich Infrastruktur, Werkzeugen und Viktimologie mit der Bedrohungsaktivitätsgruppe auf, die öffentlich als Mustang Panda (auch bekannt als BRONZE PRESIDENT und HoneyMyte) gemeldet wurde. Hierzu gehören die Nutzung überlappender Netzwerkinfrastrukturen und eine ähnliche Viktimologie, die dieser Gruppe in öffentlichen Berichten zuvor zugeschrieben wurde, sowie die Verwendung von Schadsoftware, die typischerweise von Mustang Panda verwendet wird, wie etwa PlugX, Poison Ivy und Cobalt Strike.

Hintergrund

China und die katholische Kirche

Seit vielen Jahren gehen vom chinesischen Staat gesponserte Gruppen gegen religiöse Minderheiten in der Volksrepublik China vor, insbesondere gegen die sogenannten „ Fünf Gifte“, wie etwa die tibetische, Falun Gong- und uigurische muslimische Gemeinschaft. Die Insikt Group hat öffentlich über Aspekte dieser Aktivitäten berichtet, etwa über unsere Erkenntnisse zu RedAlpha, der Ext4-Hintertür und den Watering-Hole-Kampagnen von Scanbox, die auf die Zentralverwaltung Tibets, andere tibetische Einrichtungen und die Islamische Partei Turkistans abzielten. In einer jüngsten Anklageschrift der USA vom Juli 2020 wurde festgestellt, dass die E-Mails chinesischer christlicher Geistlicher gezielt abgegriffen wurden. Dabei handelte es sich um einen Pastor aus Xi‘an sowie um den Pastor einer Untergrundkirche in Chengdu, der später von der Regierung der Volksrepublik China festgenommen wurde. Die E-Mails wurden von zwei Auftragnehmern abgefangen, die angeblich im Auftrag des chinesischen Ministeriums für Staatssicherheit (MSS) arbeiteten. Regionale Zweigstellen des chinesischen Ministeriums für öffentliche Sicherheit (MPS) waren ebenfalls stark an der digitalen Überwachung ethnischer und religiöser Minderheiten in der VR China beteiligt, insbesondere das Büro für öffentliche Sicherheit in Xinjiang (XPSB) im Fall der uigurischen Muslime.

Die Beziehung der VR China zum Vatikan und dessen Leitungsorgan, dem Heiligen Stuhl, war historisch äußerst turbulent. Insbesondere die Anerkennung der Bischöfe der historisch verfolgten chinesischen „Untergrundkirche“, die traditionell dem Vatikan treu ergeben ist, durch den Heiligen Stuhl und ihre Beziehung zu Taiwan haben seit den 1950er Jahren zu einer Abwesenheit offizieller Beziehungen geführt. Die KPCh betrachtete dieses Verhalten als Einmischung des Heiligen Stuhls in religiöse Angelegenheiten Chinas. Im September 2018 einigten sich die Volksrepublik China und der Heilige Stuhl auf eine bahnbrechende, vorläufige Vereinbarung mit einer Laufzeit von zwei Jahren, die einen bedeutenden Schritt hin zur Erneuerung der diplomatischen Beziehungen darstellte.

Im Rahmen des vorläufigen Abkommens würde China mehr Kontrolle über die Untergrundkirchen zurückerlangen und der Vatikan im Gegenzug einen größeren Einfluss auf die Ernennung von Bischöfen innerhalb der staatlich unterstützten „offiziellen“ katholischen Kirche gewinnen. Der Deal stieß auf gemischte Reaktionen. Kritiker argumentierten, dass der Deal ein Verrat an der Untergrundkirche sei und zu einer verstärkten Verfolgung ihrer Mitglieder führen würde. Viele der schärfsten Kritiker kamen von Geistlichen aus Hongkong. Ein Jahr nach dem Abkommen wurde in zahlreichen Berichten das Schweigen des Vatikans auf die Ende 2019 beginnenden Proteste in Hongkong vermerkt. Kritiker sprachen von einem Versuch, Peking nicht zu verärgern und das Abkommen von 2018 nicht zu gefährden.

Bedrohungsanalyse

Überblick über die Eingriffe der katholischen Kirche

reddelta-zielt-auf-katholische-organisationen-1-2.png

Abbildung 2: Intelligenzkarte für RedDelta PlugX C2 Server 167.88.180[.]5.

Mithilfe der RAT-Controller-Erkennung von Recorded Future und Techniken zur Netzwerkverkehrsanalyse konnte die Insikt Group mehrere PlugX C2-Server identifizieren, die von Mitte Mai bis mindestens zum 21. Juli 2020 mit Hosts im Vatikan kommunizierten. Gleichzeitig stellten wir fest, dass die Infrastruktur von Poison Ivy und Cobalt Strike Beacon C2 auch mit Hosts im Vatikan kommunizierte, dass ein Phishing-Köder mit Vatikan-Thema PlugX verbreitete und dass es auf andere mit der katholischen Kirche verbundene Einheiten abgesehen wurde.

reddelta-zielt-auf-katholische-organisationen-1-3.png

Abbildung 3: Lockdokument des Vatikans, das sich gegen den Leiter der Hongkonger Studienmission in China richtet.

Das Lockdokument in Abbildung 3, über das bereits zuvor im Zusammenhang mit Links zur Angriffswelle auf die katholische Kirche in Hongkong berichtet wurde, wurde verwendet, um eine angepasste PlugX-Nutzlast zu übermitteln, die mit der C2-Domäne systeminfor[.]com kommunizierte. Bei dem Dokument handelte es sich angeblich um einen offiziellen Brief des Vatikans an den derzeitigen Leiter der Hongkonger Studienmission in China. Derzeit ist unklar, ob die Akteure das Dokument selbst erstellt haben oder ob es sich um ein legitimes Dokument handelt, das sie in die Hände bekommen und als Waffe einsetzen konnten. Da der Brief direkt an diese Person gerichtet war, ist es wahrscheinlich, dass sie das Ziel eines Spear-Phishing-Versuchs war. Da dieses Beispiel nach Anzeichen eines Eindringens in das Netzwerk des Vatikans zusammengestellt wurde, ist es zudem auch möglich, dass der Phishing-Köder über ein kompromittiertes Vatikan-Konto versendet wurde. Diese Hypothese wird durch die Identifizierung von Kommunikationen zwischen PlugX C2s und einem vatikanischen Mailserver in den Tagen rund um das Kompilierungsdatum der Probe und ihre erste Übermittlung an öffentliche Malware-Repositorys gestützt.

Der Leiter der Hongkonger Studienmission gilt als De-facto-Repräsentant des Papstes in China und als wichtiges Bindeglied zwischen Peking und dem Vatikan. Der Vorgänger in dieser Funktion spielte eine Schlüsselrolle bei der Finalisierung des vorläufigen China-Vatikan-Abkommens von 2018, was seinen Nachfolger zu einem wertvollen Ziel für die Informationsbeschaffung vor dem Auslaufen des Abkommens und seiner wahrscheinlichen Verlängerung im September 2020 macht.

Auch weitere mit der katholischen Kirche verbundene Einrichtungen wurden im Juni und Juli 2020 mithilfe von PlugX von RedDelta ins Visier genommen, darunter die Mailserver eines internationalen Missionszentrums mit Sitz in Italien und der katholischen Diözese Hongkong.

reddelta-zielt-auf-katholische-organisationen-1-4.png

Abbildung 4: Lockdokument zum Artikel der Union of Catholic Asian News (links) und Lockdokument Qum, der Vatikan des Islam (rechts).

Die Insikt Group identifizierte zwei weitere Phishing-Köder, die dieselbe angepasste PlugX-Variante luden und beide mit derselben C2-Infrastruktur kommunizierten wie der Vatikan-Köder. Das erste Beispiel enthielt ein Lockdokument, das eine Nachrichtensendung der Union of Catholic Asian News über die bevorstehende Einführung des neuen nationalen Sicherheitsgesetzes von Hongkong imitierte. Der Inhalt der Köderdatei mit dem Titel „Über Chinas Pläne für ein Sicherheitsgesetz für Hongkong.doc“ wurde einem legitimen Artikel der Union of Catholic Asian News entnommen. Das andere Beispiel verweist ebenfalls auf den Vatikan und verwendet als Täuschungsdokument ein Dokument mit dem Titel „QUM, IL VATICANO DELL’ISLAM.doc“. Die Übersetzung dieses speziellen Lockvogeldokuments lautet „Qum, der Vatikan des Islam“ und bezieht sich auf die iranische Stadt Qum (Qom), ein wichtiges politisches und religiöses Zentrum der Schiiten. Es stammt aus den Schriften von Franco Ometto, einem im Iran lebenden italienischen katholischen Akademiker. Obwohl das unmittelbare Ziel dieser beiden Köder unklar ist, beziehen sich beide auf die katholische Kirche.

Wir sind der Ansicht, dass dieses Vorgehen sowohl auf das Ziel Chinas hinweist, seine Kontrolle über die Untergrundkirche der Katholiken in China zu verstärken, als auch darauf, den wahrgenommenen Einfluss des Vatikans auf die chinesischen Katholiken zu verringern. Ebenso entspricht die Konzentration auf die Katholiken in Hongkong angesichts der prodemokratischen Proteste und des jüngsten umfassenden nationalen Sicherheitsgesetzes den strategischen Interessen Chinas, insbesondere angesichts der pekingfeindlichen Haltung vieler seiner Mitglieder, darunter des ehemaligen Hongkonger Bischofs Kardinal Joseph Zen Ze-kiun.

Ausblick

Unsere Recherchen deckten eine mutmaßlich vom chinesischen Staat gesponserte Kampagne auf, die sich gegen mehrere hochrangige Personen mit Verbindungen zur katholischen Kirche richtete, im Vorfeld der wahrscheinlichen Erneuerung des vorläufigen Abkommens zwischen China und dem Vatikan im September 2020. Die Verbesserung der diplomatischen Beziehungen der KPCh mit dem Heiligen Stuhl wird gemeinhin als ein Mittel zur verstärkten Aufsicht und Kontrolle ihrer inoffiziellen katholischen Kirche interpretiert. Dies unterstützt auch das umfassendere erklärte Ziel der KPCh, die „Religionen in China zu sinisieren“. Darüber hinaus zeigt es, dass Chinas Interesse an der Kontrolle und Überwachung religiöser Minderheiten nicht auf jene beschränkt ist, die in den „Fünf Giften“ genannt werden. Beispiele hierfür sind die anhaltende Verfolgung und Inhaftierung von Mitgliedern der Untergrundkirche sowie Vorwürfe einer physischen Überwachung offizieller katholischer und protestantischer Kirchen.

Der US-Botschafter für internationale Religionsfreiheit drückte vor kurzem seine Besorgnis über die Auswirkungen des neuen nationalen Sicherheitsgesetzes in Hongkong aus und erklärte, es habe das „Potenzial, die Religionsfreiheit erheblich zu untergraben“. Dass die katholische Diözese Hongkong ins Visier genommen wurde, dürfte eine wertvolle Geheimdienstquelle sein, um sowohl die Haltung der Diözese zur Demokratiebewegung in Hongkong als auch ihre Beziehungen zum Vatikan zu überwachen. Dies ist ein möglicher Vorbote einer stärkeren Einschränkung der Religionsfreiheit innerhalb der Sonderverwaltungszone, insbesondere dort, wo sie mit prodemokratischen oder pekingfeindlichen Positionen einhergeht.

RedDelta ist eine äußerst aktive Bedrohungsgruppe, die es auf Entitäten abgesehen hat, die für die strategischen Interessen Chinas relevant sind. Trotz der konsequenten Verwendung bekannter Tools wie PlugX und Cobalt Strike durch die Gruppe, der Wiederverwendung von Infrastrukturen und Sicherheitsmängeln im Betrieb deuten diese Einbrüche darauf hin, dass RedDelta weiterhin mit der Erfüllung nachrichtendienstlicher Anforderungen beauftragt wird. Diese Kampagne zielt insbesondere eindeutig auf religiöse Einrichtungen ab. Aus diesem Grund sind wir der Ansicht, dass es für religiöse und nichtstaatliche Organisationen (NGOs) besonders wichtig ist, dies zur Kenntnis zu nehmen und in Netzwerkabwehrmaßnahmen zu investieren, um der Bedrohung durch staatlich geförderte chinesische Bedrohungsaktivitätsgruppen wie RedDelta entgegenzuwirken. Da viele NGOs und religiöse Organisationen nicht in der Lage sind, in Sicherheits- und Erkennungsmaßnahmen zu investieren, erhöht sich die Erfolgswahrscheinlichkeit gut ausgestatteter und hartnäckiger Gruppen erheblich, selbst wenn sie gut dokumentierte Tools, TTPs und eine gut dokumentierte Infrastruktur verwenden.

Empfehlungen zur Netzwerkverteidigung

Recorded Future empfiehlt Benutzern die Durchführung der folgenden Maßnahmen, um mit RedDelta-Aktivitäten verbundene Aktivitäten zu erkennen und einzudämmen:

  • Konfigurieren Sie Ihre Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den im Anhang aufgeführten externen IP-Adressen und Domänen eine Warnung ausgeben und ggf. die Blockierung unzulässiger Verbindungsversuche in Erwägung ziehen.

Darüber hinaus empfehlen wir Organisationen, die folgenden allgemeinen Best-Practice-Richtlinien zur Informationssicherheit zu befolgen:

  • Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand; insbesondere Betriebssysteme, Antivirensoftware und wichtige Systemdienstprogramme.
  • Filtern Sie E-Mail-Korrespondenz und überprüfen Sie Anhänge auf Malware.
  • Erstellen Sie regelmäßig Backups Ihres Systems und speichern Sie die Backups offline, vorzugsweise außerhalb des Standorts, sodass auf die Daten nicht über das Netzwerk zugegriffen werden kann.
  • Überlegen Sie sich einen gut durchdachten Reaktions- und Kommunikationsplan für Vorfälle.
  • Achten Sie auf eine strikte Abschottung unternehmensrelevanter Daten. Achten Sie insbesondere darauf, auf welche Daten jemand mit Zugriff auf ein Mitarbeiterkonto oder -gerät Zugriff hätte (beispielsweise durch Geräte- oder Kontoübernahme per Phishing).
  • Erwägen Sie ernsthaft die Einführung eines rollenbasierten Zugriffs, die Beschränkung des unternehmensweiten Datenzugriffs und die Einschränkung des Zugriffs auf vertrauliche Daten.
  • Setzen Sie hostbasierte Kontrollen ein. Zu den besten Abwehrmaßnahmen und Warnsignalen zur Abwehr von Angriffen zählen clientbasierte Host-Protokollierungs- und Angriffserkennungsfunktionen.
  • Implementieren Sie grundlegende Bereitstellungen und Kontrollen zur Reaktion auf Vorfälle und zur Erkennung, wie Netzwerk-IDS, Netflow-Sammlung, Host-Protokollierung und Web-Proxy, neben der menschlichen Überwachung der Erkennungsquellen.
  • Beachten Sie die Sicherheitsstandards Ihrer Partner oder Lieferkette. Die Fähigkeit, Sicherheitsstandards für Ökosystempartner zu überwachen und durchzusetzen, ist ein wichtiger Teil der Sicherheitslage jedes Unternehmens.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Verwandt