Chinas PLA-Einheit 61419 kauft ausländische Antivirenprodukte, wahrscheinlich für den Missbrauch

Die Insikt Group von Recorded Future hat auf offiziellen Militär-Websites der Volksbefreiungsarmee (PLA) und anderen Quellen sechs Beschaffungsdokumente entdeckt, aus denen hervorgeht, dass die Abteilung Strategic Support Force (SSF) der PLA, genauer gesagt die Einheit 61419, versucht hat, Antivirensoftware von mehreren großen amerikanischen, europäischen und russischen Sicherheitsunternehmen zu kaufen. Die Einheit 61419 der PLA wollte englischsprachige Versionen der unten aufgeführten Sicherheitssoftware erwerben (Tabelle 1). Der Schwerpunkt auf den englischen Versionen dieser Produkte ist bemerkenswert, da chinesischsprachige Versionen die logischere Wahl wären, wenn die Software für den legitimen Gebrauch bestimmt wäre oder um die potenzielle Gefährdung privater und kommerzieller Endbenutzer in China durch Schwachstellen in ausländischer Antivirensoftware zu testen.

Nach Einschätzung der Insikt Group stellt der Kauf ausländischer Antivirensoftware durch die PLA ein hohes Risiko für die globale Lieferkette für Antivirensoftware dar. Basierend auf den Mustern früherer Kampagnen und Taktiken sind zwei Szenarien für den Einsatz ausländischer Antivirensoftware durch die PLA am wahrscheinlichsten:

Szenario 1: Cyber-Einheiten der PLA und verbundene Hackergruppen verwenden ausländische Antivirenprogramme als Testumgebung für selbst entwickelte Schadsoftware. Sie lassen die Schadsoftware durch ausländische Antivirenprodukte laufen, um zu testen, ob sie nicht erkannt wird und erhöhen so die Wahrscheinlichkeit, dass sie ihre Opfer erfolgreich infiziert.

Szenario 2: Cyber-Einheiten der PLA und verbundene Hackergruppen werden den Code der ausländischen Antivirensoftware zurückentwickeln, um bisher unbekannte Schwachstellen zu finden. Sie nutzen dann die neu entdeckten Schwachstellen in einem Zero-Day-Angriff für einen ersten Eindringversuch.

Datum der Beschaffungsbestellung	Produktname	Abonnementdauer	Anzahl der Nutzer	Land des Lieferanten
Januar 2019	Kaspersky Security Cloud-Produktfamilie	1 Jahr	20 Benutzerterminals	Russland
Januar 2019	Kaspersky Security Cloud Personal	1 Jahr	10 Benutzerterminals	Russland
Januar 2019	Kaspersky Endpoint Security für Unternehmen Auswählen	1 Jahr	10 Benutzerterminals	Russland
Januar 2019	Kaspersky Endpoint Security Cloud Plus	1 Jahr	10 Benutzerterminals	Russland
Januar 2019	Avira Prime	1 Jahr	10 Benutzerterminals	Deutschland
April-Mai 2019	Kaspersky Endpoint Security für Unternehmen ADVANCED	2 Jahre	30 Benutzerterminals	Russland
April-Mai 2019	McAfee Totalschutz	2 Jahre	30 Benutzerterminals	UNS
April-Mai 2019	Dr. Web Enterprise Sicherheitssuite	2 Jahre	30 Benutzerterminals	Russland
April-Mai 2019	Nod32 ESET Multi-Device-Sicherheit	2 Jahre	10 Benutzerterminals	Slowakei
April-Mai 2019	Norton Sicherheits-Premium	2 Jahre	10 Benutzerterminals	UNS
April-Mai 2019	Symantec Endpoint Protection-Abonnement	2 Jahre	10 Benutzerterminals	UNS
November 2019	Trend Micro Worry-Free Services Advanced	2 Jahre	10 Benutzerterminals	USA-Japan
November 2019	Sophos Intercept X	2 Jahre	10 Benutzerterminals	Vereinigtes Königreich
November 2019	BitDefender Gesamtsicherheit	2 Jahre	10 Benutzerterminals	Rumänien

**Tabelle 1:** Antiviren-Sicherheitssoftware in den von der Insikt Group entdeckten Beschaffungsunterlagen

Darüber hinaus fand die Insikt Group eine von der SSF veröffentlichte Bekanntmachung einer Auftragsvergabe, die sich auf den Erwerb von Cisco-Routern und anderen Kommunikationstechnologien bezog. In diesem Dokument wird die gleiche mit der Einheit 61419 verknüpfte Kontaktadresse verwendet wie in vielen anderen Dokumenten zur Beschaffung von Antivirenprogrammen. 

Abbildung 1 unten ist ein Beispiel-Screenshot einer Produktliste, die von einer chinesischen Website für Militärbeschaffung stammt:

Abbildung 1: Einheit 61419 Beschaffungsdokument Produktliste

Muster vergangener Kampagnen

Unsere Einschätzung, dass der Kauf englischsprachiger ausländischer Antivirensoftware durch die Rolle von SSF bei der Ausbeutung des Computernetzwerks durch das chinesische Militär motiviert ist, stützt sich auf mehrere Faktoren:

China hat im Rahmen mehrerer Cyberangriffskampagnen ein Muster der Ausnutzung der Software-Lieferkette gezeigt, unter anderem gegen einige der im Jahr 2019 erworbenen ausländischen Antivirensoftware.

1. Im Jahr 2017 wurden über 2,27 Millionen Benutzer von Avast CCleaner durch ein bösartiges Update kompromittiert, das von einem vom chinesischen Staat gesponserten Bedrohungsakteur eingeschleust wurde. Die Folge war, dass über 1,6 Millionen Computer mit dem Floxif- Trojaner der ersten Stufe infiziert wurden. Eine kleine Untergruppe dieser Opfer war mit einem Trojaner der zweiten Stufe infiziert, vermutlich zu Spionagezwecken.
2. Im Sommer 2019 nutzte eine vom chinesischen Staat gesponserte APT namens Tick Group zwei Zero-Day-Angriffe aus, die die Unternehmenssicherheitsprodukte Apex One und OfficeScan XG von Trend Micro betrafen.
3. In den Jahren 2019 und 2020 erhob das US-Justizministerium Anklage gegen fünf Mitglieder der chinesischen APT, bekannt als APT41, wegen einer Eindringkampagne, von der weltweit mehr als 100 Unternehmen betroffen waren. APT41 hat Softwareanbieter kompromittiert und anschließend den Code der Anbieter geändert, um weitere Angriffe auf die Kunden der Softwareanbieter zu ermöglichen. Die Ziele der Kampagne waren Spionage und Kryptowährungs-Mining.
4. Im Oktober 2019 gab Avast einen zweiten Angriff auf die CCleaner-Software bekannt. Diesmal gelang es den Hackern, in die Infrastruktur einzudringen, auf die das CCleaner-Hosting nach dem Angriff im Jahr 2017 verschoben worden war. Der tschechische Sicherheitsinformationsdienst (BIS) führte diesen Angriff auf chinesische Bedrohungsakteure zurück.
5. Im Oktober 2020 berichtete die Threat Analysis Group von Google, dass die vom chinesischen Staat gesponserte Hackergruppe APT31 sich als Antivirenunternehmen McAfee ausgegeben hatte, um gezielte Angriffe auf das E-Mail-System der Biden-Kampagne durchzuführen. Die Opfer wurden aufgefordert, eine legitime Version der Antivirensoftware McAfee Total Protection von GitHub zu installieren, während gleichzeitig die Schadsoftware auf dem System installiert wurde. McAfee Total Protection ist eines der Antivirenpakete, die Unit 61419 vor einem Jahr gekauft hat.
6. Im Jahr 2021 gab Microsoft bekannt, dass eine vom chinesischen Staat gesponserte Hackergruppe, HAFNIUM, vier Zero-Day-Exploits nutzte, um Zugriff auf Microsoft Exchange- Server zu erhalten und Web-Shells auf diesen zu installieren. Dadurch wurde Outlook Web Access (OWA) in bis zu 60.000 Organisationen weltweit kompromittiert.

Darüber hinaus hat die chinesische Regierung ausländische Antivirensoftware seit ihrem Verbot im Jahr 2014 nicht mehr für legitime Zwecke eingesetzt. Im August 2014 berichtete die staatliche Nachrichtenagentur People's Daily, dass die Beschaffungsabteilung der Zentralregierung (中央政府采购部门) Kaspersky und Symantec von der Liste der zugelassenen Anbieter von Informationssicherheitssoftware gestrichen habe. Chinesische Beamte genehmigten die Nutzung von fünf in China ansässigen Unternehmen: Qihoo 360 Technology, Venustech, CAJinchen, Beijing Jiangmin und Rising. Das chinesische Ministerium für öffentliche Sicherheit gab im Juni 2014 eine Mitteilung heraus, in der es hieß, dass die Software von Symantec Sicherheitslücken aufweise, darunter Hintertüren, die einen externen Zugriff ermöglichen könnten. 

Wer ist die PLA-Einheit 61419?

Einheit 61419 ist der Military Unit Cover Designator (MUCD) für ein Büro innerhalb der Strategic Support Force (SSF) der Volksbefreiungsarmee (PLA). Obwohl es nur wenige öffentlich zugängliche Dokumente gibt, umfasste der Aufgabenbereich der Einheit, als sie 2011 erstmals identifiziert wurde, die Auswertung ausländischer Nachrichtendienste (SIGINT) und anderer Cyberoperationen mit einem Schwerpunkt auf Japan und Korea. Forscher am Project 2049 Institute kamen zu dem Schluss , dass die Einheit 61419 das 4. Operationsbüro der Dritten Abteilung (3PLA) des Generalstabs der Volksbefreiungsarmee (GSD) ist. 3PLA war im Großen und Ganzen für defensives SIGINT verantwortlich, einschließlich der Überwachung chinesischer Kommunikationsnetzwerke, des Schutzes der Sicherheit chinesischer inländischer Computernetzwerke und der Durchführung einer auf Cyber-Spionage ausgerichteten Computernetzwerk-Ausnutzung (CNE). Ab 2015 wurden GSD und 3PLA aufgelöst und ihre Kapazitäten und Schwerpunkte zumindest teilweise in der Network Systems Department (NSD) der SSF neu organisiert.

Die Einheit hat ihren Hauptsitz in Qingdao (der Standort wird unten ausführlich beschrieben) und umfasst mehrere untergeordnete Büros, jedes mit seinem eigenen MUCD. Diese Büros befinden sich in Qingdao und Umgebung, Hangzhou, Peking und Shanghai. Jedes dieser Büros hat wahrscheinlich sein eigenes MUCD.¹ Eines davon, Einheit 61680, befindet sich in der Gemeinde Wenquan (温泉镇) in der Stadt Jimo (即墨市) und verfügt dort über ein Ausbildungszentrum . Die Einheit 61650 verwendet für ihre Gerätebeschaffung dieselbe Adresse wie die Einheit 61419, was darauf schließen lässt, dass es sich auch hier um ein untergeordnetes Büro handelt. Die Einheit 61789 ist ebenfalls untergeordnet und befindet sich vermutlich in Shanghai. Zu den von Mitgliedern der Einheit 61419 durchgeführten Forschungsarbeiten gehört ein Dokument aus dem Jahr 2008 über die Ausweitung des „nuklearen Schutzschilds“ der USA auf Korea sowie medizinische Themen. Letzterer Schwerpunkt lässtdarauf schließen, dass die Einheit über eine medizinische Abteilung verfügt. Eine Logistikabteilung verwaltet die Liegenschaften der Einheit 61419 und eine politische Abteilung kümmert sich, wie in den meisten anderen PLA-Einheiten, um Disziplin und politische Erziehung. Die Einheit 61419 verfügt möglicherweise über eine Trainingsbasis in Xinzhou, Provinz ^Shanxi.2

Figur 2: Emblem der Strategischen Unterstützungstruppe der Volksbefreiungsarmee. Jüngsten Berichten aus Japan zufolge ist die Einheit 61419 in eine Reihe von Cyberangriffen auf Unternehmen wie Mitsubishi Electric, Hitachi, die Keio-Universität, die Hitotsubashi-Universität und die Japan Aerospace Exploration Agency (JAXA) in den Jahren 2016 und 2017 verwickelt. Berichten zufolge hat die Ehefrau eines Mitglieds der Einheit 61619 einen in Japan lebenden chinesischen Studenten angewiesen , unter einem Pseudonym Server zu mieten. Diese Server wurden dann für einige der oben genannten Cyberangriffe verwendet. Japanische Medien zitierten außerdem das Amt für öffentliche Sicherheit der Tokioter Polizei mit der Behauptung , dass die Einheit 61419 mit der Tick Group APT in Verbindung stehe, die auch als Drahtzieher der Cyberangriffe von 2016 und 2017 identifiziert wurde. Obwohl eine eindeutige Zuordnung der Tick Group zur Einheit 61419 derzeit noch schwierig ist, hat sich die APT in der Vergangenheit auf japanische Ziele konzentriert . Dies steht im Einklang mit dem Fokus der Einheit 61419 auf Japan. Darüber hinaus erfolgte die Ausnutzung von Zero-Day-Angriffen durch die Tick Group, die sich auf die Unternehmenssicherheitsprodukte Apex One und OfficeScan XG von Trend Micro auswirkten, Monate bevor eine SSF-Einheit im November 2019 eine Beschaffungsankündigung für Worry-Free Services Advanced von Trend Micro herausgab und dabei den Hauptsitz der Einheit 61419 als Lieferadresse für die Anwendung verwendete. 

Angesichts der vorläufigen Verbindungen zu Cyberangriffen in Japan und der Tick Group sowie der in diesem Bericht identifizierten Beschaffungsaktivitäten wird die Einheit 61419 höchstwahrscheinlich weiterhin als SSF-NSD-Büro betrieben, das sich zumindest teilweise auf CNE-Operationen konzentriert.

Ortungseinheit 61419

Die Insikt Group hat in den sechs Beschaffungsdokumenten mehrere wichtige Muster erkannt. In allen sechs Dokumenten wird ein einheitlicher Ansprechpartner genannt – ein „Herr“. Yu“ (于先生) – zusammen mit einer Telefonnummer.

In sechs der Dokumente ist auch die gleiche Kontaktadresse in der Stadt Qingdao, Provinz Shandong, aufgeführt: No ), wie in Abbildung 5 unten dargestellt. An diese Adresse werden sämtliche Beschaffungsunterlagen des Referats 61419 gesendet. Diese Adresse wird auch für andere Einheiten verwendet, beispielsweise 61650, die wahrscheinlich der Einheit 61419 untergeordnet sind.

Abbildung 3: Screenshot der Adresse aus den Antragsanweisungen für Beschaffungsdokumente. Zusätzlich zu den Beschaffungsdokumenten fand die Insikt Group eine Stromausfallmeldung aus dem Jahr 2018, in der die Logistikabteilung der Einheit 61419 als betroffene Partei in der Fushun Road aufgeführt ist. Der Hinweis in Abbildung 4 lautet: „35-kV-Umspannwerk Fushun Road｜Geplanter Stromausfall … 61419 Logistikabteilung der Armee betrifft 2 Stationen und 231 Bezirkskunden.“

Abbildung 4: Die Stromausfallmeldung von 2018 identifiziert das Umspannwerk Fushun Road als Stromquelle für eine Einrichtung, die von der Logistikabteilung der PLA-Einheit 61419 verwaltet wird.

Baidu Maps zeigt, dass sich in der Fushun Road Nr. 5 ein Hotel in Qingdao namens Bihaiyuan Hotel (碧海园宾馆) befindet. Einige der Beschaffungsunterlagen Nr. 5 Fushun Road beziehen sich direkt auf dieses Hotel bzw. dessen Rezeption (Abbildung 7).

Abbildung 5: Straßenansicht des Bihaiyuan Hotels (碧海园宾馆)

Abbildung 6: Straßenansicht des Bihaiyuan Hotels (碧海园宾馆) und des angrenzenden Sicherheitskontrollpunkts und Tors

Abbildung 7: Beschaffungsfußnoten weisen die Zustellung von Bewerbungsunterlagen an eine Adresse des Bihaiyuan Hotels (碧海园宾馆) an.

Recorded Future geht davon aus, dass sich hinter der Adresse Fushun Road Nr. 5 der Hauptsitz der Einheit 61419 befindet und dass das Bihaiyuan Hotel ihr öffentliches Aushängeschild ist. Hinter dem Hotel befindet sich ein ummauerter Komplex, der den Hauptquartieren anderer PLA-Einheiten ähnelt (Abbildung 8). Unsere Einschätzung bestätigt die Feststellung des Project 2049 Institute aus dem Jahr 2011, dass es sich bei dieser Adresse wahrscheinlich um den Hauptsitz handelt.

Abbildung 8: Karte des Geländes von Büro 61419 basierend auf der Analyse der Insikt Group. Der Hauptkomplex (rot dargestellt) grenzt an zwei weitere geschlossene Anlagen (dunkelrot dargestellt) oder teilt sich den Platz mit diesen. Auf Grundlage der verfügbaren Satellitenbilder ist nicht klar, in welchem Ausmaß der Komplex der Einheit 61419 abgetrennt ist und wie hoch die Sicherheitsvorkehrungen an den internen Toren sind.

So wurden beispielsweise in einem im Januar 2016 vom Asian Studies Detachment der US Army erstellten Bericht das Jingtang Hotel und das Seasons Hotel mit der 4. Abteilung des Generalstabshauptquartiers der PLA (4PLA) in Verbindung gebracht , die vor ihrer Auflösung und Umstrukturierung in die SSF für die elektronische und Informationskriegsführung, einschließlich offensiver Cyberoperationen, verantwortlich war.

Begrenzte Beweise legen nahe, dass die Nutzung von Hotels ein Modell ist, das von PLA-Einheiten verwendet wird, um möglicherweise ihre Standorte zu verschleiern. In früheren Berichten wurde behauptet, die Cyber- und Elektronik-Einheiten von PLAY hätten für ihre Operationen oder als mögliche Hauptquartiere Stockwerke in Hotelzimmern angemietet.

Das Bihaiyuan Hotel ist außerdem nicht das einzige mit der Einheit 61419 verbundene Hotel.  Aus einer im Jahr 2018 von der PLA-Einheit 61789 gegen die Shanghai Golden Hope Hotel Management Co. Ltd. (上海金色希望酒店管理有限公司) eingereichten Klage wegen Verstoßes gegen den „Militärischen Immobilien-Pachtvertrag“ geht hervor, dass die Einheit 61419 im Jahr 2014 ein Gebäude an der Yan'an Middle Road in Shanghai an die Hotelverwaltungsgesellschaft vermietet hat. Aus der Klage geht hervor, dass die Einheit 61789 im Jahr 2017 der Einheit 61419 untergeordnet war. Auch die Einheit 61850, das ehemalige 7. Operative Büro der 3PLA, wird als Partei im Streit genannt. Der Standort des gemieteten Gebäudes könnte Nr. 802 Yan'an Middle Road, Bezirk Jing'an, Stadt Shanghai gewesen sein, wo das Shanghai Golden Hope Hotel zuvor ein Hotel betrieb .

Empfehlungen

Angesichts des oben beschriebenen Musters der vom chinesischen Staat geförderten Ausbeutung der globalen Software-Lieferkette sowie der Tatsache, dass China ausländische Antivirensoftware als Option für Regierungsorganisationen ausschließt, sollten die in Tabelle 1 angegebenen Marken und Produkte im Hinblick auf künftige Ausbeutung überwacht werden. Der Schwerpunkt sollte auf Angriffssimulationen, Penetrationstests, dem Patchen bekannter Schwachstellen und der Überwachung auf anormalen Datenverkehr im Zusammenhang mit diesen Antivirenprodukten liegen.

Obwohl Recorded Future nicht in der Lage ist, die genaue Rechtmäßigkeit etwaiger Transaktionen zu beurteilen, die sich möglicherweise aus den von uns geprüften Beschaffungsdokumenten ergeben haben, empfehlen wir allen betroffenen Organisationen, angesichts der Export Administration Regulations (EAR) des US-Handelsministeriums, die Informationssicherheitssoftware abdecken, rechtlichen Rat hinsichtlich des Verkaufs von Sicherheitssoftware nach China einzuholen.

¹ Mark Stokes, „Die Computernetzwerk-Operationsinfrastruktur der chinesischen Volksbefreiungsarmee“, in Jon R. Lindsay, Tai Ming Cheung und Derek S. Reveron (Hrsg.), China und Cybersicherheit: Spionage, Strategie und Politik im digitalen Bereich, Oxford University Press: New York, NY, 2015, S. 171. ² Ebenda.