>
Research (Insikt)

Vier chinesische APT-Gruppen zielen auf Mailserver des afghanischen Telekommunikationsunternehmens Roshan ab

Veröffentlicht: 28. September 2021
Von: Insikt Group

insikt-logo-blog.png

Die Insikt Group hat separate Einbruchsaktivitäten entdeckt, die auf einen Mailserver von Roshan, einem der größten Telekommunikationsanbieter Afghanistans, abzielten und mit vier verschiedenen, vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppen in Verbindung stehen. Hierzu zählen Aktivitäten, die wir den vom chinesischen Staat gesponserten Gruppen RedFoxtrot und Calypso APT zuschreiben, sowie zwei weitere Cluster, die die Backdoors Winnti und PlugX verwenden, die wir zum jetzigen Zeitpunkt jedoch nicht mit etablierten Gruppen in Verbindung bringen konnten. Insbesondere die Datenexfiltrationsaktivitäten im Zusammenhang mit diesen Angriffen, insbesondere im Zusammenhang mit der Calypso APT-Aktivität und dem Einsatz der Winnti-Malware durch den unbekannten Bedrohungsakteur, nahmen im August und September 2021 sprunghaft zu und fielen mit wichtigen geopolitischen Ereignissen zusammen, wie dem Abzug der US-Truppen und einer Wiedererstarkung der Taliban-Kontrolle. Dieser Schwerpunkt der nachrichtendienstlichen Tätigkeit gegenüber einem der größten Telekommunikationsanbieter Afghanistans dürfte zum Teil auf dem angeblichen Wunsch der Kommunistischen Partei Chinas (KPCh) beruhen, ihren Einfluss in Afghanistan unter der erneuten Herrschaft der Taliban auszuweiten. Das Telekommunikationsunternehmen bietet eine äußerst wertvolle Plattform für die strategische Informationsbeschaffung, sei es für die Überwachung nachgelagerter Ziele, die Massenerfassung von Kommunikationsdaten oder die Möglichkeit, einzelne Ziele zu verfolgen und zu überwachen. Darüber hinaus misst die chinesische Regierung dem Telekommunikationssektor in den an der Belt and Road Initiative beteiligten Ländern eine strategische Bedeutung bei.

Zeitleiste der Aktivität

Die Insikt Group verfolgt und berichtet regelmäßig über eine Reihe von vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppen, wie beispielsweise unsere jüngste Berichterstattung für RedFoxtrot im Juni 2021 zeigt. Eine der zum Verfolgen dieser Gruppen verwendeten Methoden kombiniert Methoden zur Erkennung gegnerischer Infrastrukturen und aufgezeichnete zukünftige Netzwerkverkehrsanalysedaten (NTA). Durch unsere Verfolgung der bösartigen Infrastruktur, die mit bekannten, vom chinesischen Staat gesponserten Akteuren in Verbindung steht, haben wir im vergangenen Jahr mehrere gleichzeitige Angriffe auf Roshan identifiziert, die mit vier verschiedenen Aktivitätsgruppen in Verbindung stehen:

  • Die frühesten festgestellten Aktivitäten, die auf Roshan abzielten, stehen im Zusammenhang mit der mutmaßlich vom chinesischen Staat gesponserten Gruppe Calypso APT. Sie dauerten mindestens von Juli 2020 bis September 2021 und wurden erstmals im August letzten Jahres von der Insikt Group gemeldet.
  • Vor Kurzem wurde festgestellt, dass derselbe Roshan-Server von mindestens März bis Mai 2021 mit der Befehls- und Kontrollinfrastruktur von RedFoxtrot PlugX kommunizierte. Während dieser Zeit wurde außerdem festgestellt, dass RedFoxtrot ein zweites afghanisches Telekommunikationsunternehmen ins Visier nahm.
  • Zwei weitere Cluster waren ebenfalls am Angriff auf denselben Roshan-Mailserver beteiligt. Diese werden als Winnti- und PlugX-Cluster bezeichnet und in den folgenden Abschnitten näher beschrieben. Beide Cluster scheinen weder miteinander noch mit der Calypso APT- und RedFoxtrot-Aktivität in Verbindung zu stehen, wir sind derzeit jedoch nicht in der Lage, sie einer verfolgten Aktivitätsgruppe zuzuordnen.

chinesische-APT-gruppen-zielen-auf-afghanische-telekommunikationsfirma-1-1.png Abbildung 1: Zeitleiste der Datenexfiltrationsereignisse von Roshan NTA im Vergleich zur geopolitischen Berichterstattung über Afghanistan (Quelle: Recorded Future)

Dass ein und dieselbe Organisation von Aktivitätsgruppen unter der gleichen staatlichen Schirmherrschaft ins Visier genommen wird, ist nicht ungewöhnlich, insbesondere für chinesische Gegner. Viele dieser Gruppen haben unterschiedliche Anforderungen an die Geheimdienstarbeit, und aufgrund der Größe des chinesischen Geheimdienstes sind ihre Zielerfassung und Informationsbeschaffung häufig nicht koordiniert. In diesem Fall kam es, wie in Abbildung 1 zu sehen, zu einem Anstieg der Datenexfiltrationsereignisse im Zusammenhang mit den Einbrüchen von Calypso APT und Winnti im August und September 2021. Dies deutet sowohl auf eine historische strategische Fokussierung auf Afghanistan als auch auf eine weitere Konzentration der Aktivitäten im Einklang mit wichtigen geopolitischen Ereignissen hin.

Afghanistan ist für China aus mehreren Gründen strategisch wichtig, insbesondere nach dem US-Abzug. Zum einen versucht die VR China wahrscheinlich, ihren Einfluss in Afghanistan auszuweiten, um ein Übergreifen regionaler Instabilität und Extremismus auf die angrenzende Uigurische Autonome Region Xinjiang der VR China sowie auf andere zentralasiatische Länder zu verhindern. Diese Probleme rufen nationale Sicherheitsbedenken hervor und erfordern den Schutz der Interessen der VR China in der Region, einschließlich der großen Investitionen im Rahmen der Belt and Road Initiative (BRI). Der Rückzug der USA bietet der VR China auch Möglichkeiten für neue, große BRI-bezogene Projekte und Projekte in der Rohstoffindustrie in Afghanistan.

Technische Analyse

chinesische-APT-gruppen-zielen-auf-afghanische-telekommunikationsfirma-2-1.jpg Abbildung 2: Diagramm der bei den Roshan-Einbrüchen verwendeten Infrastruktur (Quelle: Recorded Future)

Wie in Abbildung 2 dargestellt, wurde festgestellt, dass der kompromittierte Roshan-Server mit einer Reihe gegnerischer C2-Infrastrukturen kommuniziert, die insbesondere mit der PlugX-Malware-Familie in Verbindung stehen, die häufig von staatlich geförderten chinesischen Gruppen verwendet wird. Der folgende Abschnitt enthält eine Aufschlüsselung der Einbruchsaktivität nach Gruppen.

RoterFoxtrott

Im Juni 2021 berichtete die Insikt Group über Aktivitäten von RedFoxtrot, die seit mindestens 2014 auf Regierungs-, Verteidigungs- und Telekommunikationsorganisationen in Süd- und Zentralasien abzielten. Wir haben diese Aktivitätsgruppe mit der Einheit 69010 der Netzwerksystemabteilung (NSD) der Strategischen Unterstützungstruppe der Volksbefreiungsarmee (PLASSF) in Ürümqi, Xinjiang, in Verbindung gebracht, und zwar aufgrund der laxen operativen Sicherheit, die von einem mutmaßlichen RedFoxtrot-Betreiber angewendet wird. Die Gruppe verwendet eine Reihe maßgeschneiderter Malware-Varianten, die üblicherweise mit chinesischen Gruppen in Verbindung gebracht werden, etwa IceFog, QUICKHEAL und RoyalRoad, sowie andere, allgemein verfügbare Tools, die oft von mit China verbundenen Bedrohungsakteuren verwendet werden, darunter Poison Ivy, PlugX und PCShare.

In Folgeanalysen im Juli und September 2021 stellten wir fest, dass RedFoxtrot nach der öffentlichen Enthüllung große Teile seiner operativen Infrastruktur aufgab, und berichteten über mehrere neu identifizierte Opfer im Regierungs- und Verteidigungssektor in Indien und Pakistan. Die auf Roshan abzielenden Aktivitäten von RedFoxtrot hörten vor unserer öffentlichen Berichterstattung über die Gruppe im Juni 2021 auf und waren mit der folgenden PlugX-Befehls- und Kontrollinfrastruktur verknüpft:

C2-Domäne Zuletzt gesehene C2-IP-Adresse Zuletzt gesehenes Aktivitätsdatum
randomanalyze.freetcp[.]com 143.110.250[.]149 4. April 2021
darkpapa.chickenkiller[.]com 149.28.139[.]86 5. Mai 2021
dhsg123.jkub[.]com 159.65.152[.]7

143.110.242[.]139

 21. April 2021

Tabelle 1: RedFoxtrot PlugX-Indikatoren von Roshan Intrusion

Calypso APT

Im März 2021 berichtete die Insikt Group über die Calypso APT, die zusammen mit mehreren anderen vom chinesischen Staat gesponserten Gruppen eine Massen-Exploit-Kampagne durchführte, die auf Microsoft Exchange-Server abzielte und dabei die ProxyLogon-Exploit-Kette (CVE-2021-26855, CVE-2021-27065) verwendete. Eine der in dieser Aktivität hervorgehobenen PlugX C2-Domänen, www.membrig[.]com, ist weiterhin aktiv und steht im Zusammenhang mit anhaltenden Eindringungsaktivitäten, die auf Roshan abzielen.

C2-Domäne Zuletzt gesehene C2-IP-Adresse Zuletzt gesehenes Aktivitätsdatum
www.membrig[.]com 103.30.17[.]20 12. September 2021

Tabelle 2: Calypso APT-Indikatoren für Roshan-Eindringlinge

Unbekannter Winnti-Cluster

Die Winnti-Hintertür wurde in der Vergangenheit von mehreren vom chinesischen Staat gesponserten Gruppen verwendet, darunter APT41/Barium, APT17 und zuletzt eine Gruppe, die von der Insikt Group als TAG-22 verfolgt wurde . Die Winnti-Hintertür wird häufig mit Aktivitäten in Verbindung gebracht , die mit mehreren Gruppen lose verbundener privater Auftragnehmer zusammenhängen, die im Auftrag des chinesischen Ministeriums für Staatssicherheit (MSS) arbeiten. Im September 2020 erhob das US-Justizministerium Anklage gegen fünf chinesische Staatsangehörige, die mit APT41 in Verbindung stehen, das Zugriff auf die Schadsoftware Winnti hatte. Sie sollten groß angelegte Einbruchsoperationen durchführen, die sich gegen über 100 Opfer weltweit richteten.

Im Zusammenhang mit dem Angriff auf Roshan stellten wir eine hohe Datenexfiltrationsaktivität vom anvisierten Roshan-Server und dem Winnti C2 45.76.144[.]44 fest. vom mindestens 17. August bis 12. September 2021. Es ist uns nicht gelungen, diese Winnti C2-Infrastruktur mit einer bekannten Gruppe in Verbindung zu bringen, aber sie ist sehr wahrscheinlich nicht mit der oben hervorgehobenen APT-Aktivität von RedFoxtrot und Calypso identisch.

Unbekannter PlugX-Cluster

Schließlich wurde festgestellt, dass derselbe Roshan-Mailserver von April bis August 2021 auch mit einem zusätzlichen PlugX C2-Server kommunizierte. Dieses PlugX C2, 45.86.162[.]135, ist mit dem in Australien ansässigen PS-Hosting-Reseller Crowncloud verknüpft.

Ausblick

Mehrere vom chinesischen Staat gesponserte Gruppen sind in Zentralasien nach wie vor äußerst aktiv. Sie operieren jedoch häufig unkoordiniert, was vermutlich auf unterschiedliche Aufgaben und Befehlsketten zurückzuführen ist. Wie andere geopolitische Krisenherde wie Indien und das Südchinesische Meer wird Afghanistan auch nach dem Abzug der USA und der Machtübernahme der Taliban wahrscheinlich ein Hauptziel der Geheimdienstarbeit der chinesischen Regierung bleiben. Telekommunikationsunternehmen sind in diesen Regionen schon immer ein Hauptziel von Cyber-Spionage und aufgrund des hohen Geheimdienstwerts der bei ihnen gespeicherten Daten einem besonders hohen Risiko ausgesetzt. Darüber hinaus betrachtet es die chinesische Regierung als strategische Priorität, Einfluss auf die Telekommunikationssektoren der an der Belt and Road Initiative beteiligten Länder zu nehmen, was ihr einen wachsenden Einfluss in der Debatte über die globale Internet-Governance verschafft.

Verwandt