Mit China verbundene Gruppe RedEcho nimmt angesichts erhöhter Spannungen an der Grenze den indischen Energiesektor ins Visier

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

_Dieser Bericht beschreibt detailliert eine Kampagne der mit China verbundenen Bedrohungsgruppe RedEcho, die sich gegen den indischen Energiesektor richtet. Die Aktivität wurde durch eine Kombination aus groß angelegter automatisierter Netzwerkverkehrsanalyse und Expertenanalyse identifiziert. Zu den Datenquellen gehören die Recorded Future Platform, SecurityTrails, Spur, Farsight und gängige Open-Source-Tools und -Techniken. Der Bericht dürfte vor allem für Personen von Interesse sein, die sich mit strategischen und operativen Geheimdienstinformationen zu indischen und chinesischen Aktivitäten im Cyberspace befassen.

Recorded Future hat vor der Veröffentlichung der mutmaßlichen Eindringversuche die zuständigen indischen Regierungsbehörden benachrichtigt, um die Reaktion auf den Vorfall und die Untersuchungen zur Behebung der Sicherheitslücken in den betroffenen Organisationen zu unterstützen._

Executive Summary

Die Beziehungen zwischen Indien und China haben sich nach den Grenzkonflikten im Mai 2020 deutlich verschlechtert. In diesem Zusammenhang kam es zwischen den beiden bevölkerungsreichsten Ländern der Welt zum ersten Mal seit 45 Jahren zu Kampftoten . Infolgedessen gab Indiens Außenminister Subrahmanyam Jaishankar am 12. Januar 2021 bekannt , das Vertrauen zwischen Indien und China sei „zutiefst gestört“. Zwar konnten diplomatische und wirtschaftliche Faktoren einen umfassenden Krieg verhindern – wie zuletzt durch den bilateralen Rückzug an der Grenze –, doch bieten Cyberoperationen den einzelnen Ländern auch weiterhin eine wirksame asymmetrische Möglichkeit, Spionage zu betreiben oder sich mit potenziell störenden Absichten in Netzwerke einzuschleichen.

Seit Anfang 2020 beobachtete die Insikt Group von Recorded Future einen starken Anstieg mutmaßlich gezielter Eindringaktivitäten gegen indische Organisationen durch staatlich geförderte chinesische Gruppen. Ab Mitte 2020 enthüllte die Midpoint-Sammlung von Recorded Future einen starken Anstieg der Nutzung der als AXIOMATICASYMPTOTE bezeichneten Infrastruktur, zu der auch ShadowPad-Befehls- und Kontrollserver (C2) gehören, um große Teile des indischen Energiesektors ins Visier zu nehmen. Zehn verschiedene Organisationen des indischen Energiesektors, darunter vier der fünf Regional Load Despatch Centres (RLDC), die für den Betrieb des Stromnetzes durch den Ausgleich von Stromangebot und -nachfrage verantwortlich sind, wurden als Ziele einer konzertierten Kampagne gegen die kritische Infrastruktur Indiens identifiziert. Zu den weiteren identifizierten Zielen zählten zwei indische Seehäfen.

Durch eine Kombination aus proaktiver Erkennung gegnerischer Infrastrukturen, Domänenanalyse und aufgezeichneter zukünftiger Netzwerkverkehrsanalyse haben wir ermittelt, dass eine Teilmenge dieser AXIOMATICASYMPTOTE-Server einige gemeinsame Infrastrukturtaktiken, -techniken und -verfahren (TTPs) mit mehreren zuvor gemeldeten, vom chinesischen Staat gesponserten Gruppen teilt, darunter APT41 und Tonto Team.

Trotz einiger Überschneidungen mit früheren Gruppen glaubt die Insikt Group derzeit nicht, dass genügend Beweise vorliegen, um die Aktivitäten dieser speziellen Kampagne eindeutig einer bestehenden öffentlichen Gruppe zuzuordnen. Daher verfolgt sie diese weiterhin als eng verwandte, aber eigenständige Gruppe namens RedEcho.