Mitarbeitersoftware „Beijing One Pass“ weist Spyware-Eigenschaften auf

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Executive Summary

Ein Kunde von Recorded Future lieferte der Insikt Group Informationen zu einem potenziellen Sicherheitsvorfall, der durch eine Softwareanwendung namens „Beijing One Pass“ ausgelöst wurde. Diese von der chinesischen Regierung unterstützte Anwendung ermöglicht den Zugriff auf Informationen zu staatlichen Leistungen und wurde von Mitarbeitern des Kunden Recorded Future heruntergeladen, nachdem sie darüber informiert wurden, dass keine Papierkopien der Informationen mehr verfügbar sein würden.

Die Insikt Group hat unabhängig überprüft, dass die installierte Anwendung Merkmale aufweist, die mit potenziell unerwünschten Anwendungen (PUA) und Spyware übereinstimmen. Die Software ist mit der Beijing Certificate Authority (北京数字认证股份有限公司) verbunden, einem chinesischen Staatsunternehmen (BJCA, www.bjca[.]cn). 

Einige bemerkenswerte verdächtige Verhaltensweisen beziehen sich auf mehrere abgelegte Dateien und nachfolgende Prozesse, die von der primären Anwendung initiiert wurden. Zu diesen Verhaltensweisen gehören ein Persistenzmechanismus, das Sammeln von Benutzerdaten wie Screenshots und Tastatureingaben, eine Backdoor-Funktionalität und andere Verhaltensweisen, die üblicherweise mit bösartigen Tools in Verbindung gebracht werden, wie etwa das Deaktivieren von Sicherheits- und Backup-bezogenen Diensten.

Wir können nicht bestätigen, welche Absicht hinter den Spyware-ähnlichen Funktionen von Beijing One Pass steckt. Bemerkenswert ist jedoch die Existenz von Software mit vergleichbarer Spyware-Funktionalität, die von mindestens einer anderen chinesischen Region, der Shaanxi CA, entwickelt wurde. Diese Funktionen könnten auf einen vorsätzlichen Versuch hinweisen, Zugriff auf Geräte zu erhalten (beispielsweise zur Unterstützung des chinesischen Cybersicherheitsgesetzes , das Sicherheitsorganisationen die Ferninspektion von Unternehmensnetzwerken gestattet). Sie könnten auch das Ergebnis laxer Sicherheitspraktiken der Zertifizierungsstellen (CA) und Entwickler sein oder auf Funktionen zurückzuführen sein, die zur Einhaltung chinesischer Gesetze und Vorschriften entwickelt wurden.

Was auch immer der Grund sein mag: Es ist nicht ratsam, derartige Software auf Geräten zu installieren, die Zugriff auf vertrauliche Daten haben. Recorded Future empfiehlt Unternehmen mit in China ansässigen Mitarbeitern, die mithilfe der „One Pass“-Software auf Informationen zu staatlichen Leistungen zugreifen müssen, diese nicht auf Geräten zu verwenden, die Zugriff auf vertrauliche Unternehmensdaten haben.

Analyse

Bei einer vorläufigen Analyse stellte die Insikt Group fest, dass der PC-Client „Beijing One Pass“ ein Verhalten aufweist, das Spyware-Anwendungen ähnelt. Die Software enthält integrierte Funktionen, die in ihrer Gesamtheit erhebliche Zweifel an der Tragweite ihrer Möglichkeiten zur Datenerfassung wecken:

• Möglichkeit zur automatischen Ausführung beim Windows-Start, um Persistenz sicherzustellen
• Während der Ausführung der Datei wird regelmäßig geprüft, ob eine menschliche Interaktion mit dem Betriebssystem stattfindet.
• Versuch, ROOT-Zertifikate der Systemregistrierung zu lesen, zu erstellen oder zu ändern
• Deaktivieren von Sicherheits- und Sicherungsdiensten auf dem Hostgerät
• Domänen für die Verwendung von ActiveX zulassen, was möglicherweise die Verbindung zu zusätzlichen Internetressourcen ermöglicht
• Daten aus der Zwischenablage lesen
• Aufzeichnen von Screenshots
• Erfassen und Abrufen von Tastatureingaben

Es gibt auch Hinweise darauf, dass die Datei eine Backdoor-Funktion enthält, um einen Port zu öffnen und auf eingehende Verbindungen zu lauschen. Diese Funktionalität ist in einem Treiber namens „wmControl.exe“ vorhanden, der die CertAppEnv-Installation begleitet. Wir haben innerhalb der Anwendung außerdem eine Anti-Analyse-Funktion festgestellt, die normalerweise mit Malware in Verbindung gebracht wird.

Basierend auf den vom Recorded Future-Client bereitgestellten Daten erfordert die Anwendung „Beijing One Pass“ die Installation der Software „Certificate Application Environment“. Diese Software scheint vom chinesischen Staatsunternehmen Beijing Certificate Authority (北京数字认证股份有限公司) entwickelt worden zu sein. Nach der Installation des One Pass PC-Clients wird der nachfolgende Prozessbaum erstellt, der in Abbildung 1 detailliert dargestellt ist und von den Analysten der Insikt Group näher untersucht wurde.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.