Vier chinesische APT-Gruppen zielen auf Mailserver des afghanischen Telekommunikationsunternehmens Roshan ab

Die Insikt Group hat separate Einbruchsaktivitäten entdeckt, die auf einen Mailserver von Roshan, einem der größten Telekommunikationsanbieter Afghanistans, abzielten und mit vier verschiedenen, vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppen in Verbindung stehen. Hierzu zählen Aktivitäten, die wir den vom chinesischen Staat gesponserten Gruppen RedFoxtrot und Calypso APT zuschreiben, sowie zwei weitere Cluster, die die Backdoors Winnti und PlugX verwenden, die wir zum jetzigen Zeitpunkt jedoch nicht mit etablierten Gruppen in Verbindung bringen konnten. Insbesondere die Datenexfiltrationsaktivitäten im Zusammenhang mit diesen Angriffen, insbesondere im Zusammenhang mit der Calypso APT-Aktivität und dem Einsatz der Winnti-Malware durch den unbekannten Bedrohungsakteur, nahmen im August und September 2021 sprunghaft zu und fielen mit wichtigen geopolitischen Ereignissen zusammen, wie dem Abzug der US-Truppen und einer Wiedererstarkung der Taliban-Kontrolle. Dieser Schwerpunkt der nachrichtendienstlichen Tätigkeit gegenüber einem der größten Telekommunikationsanbieter Afghanistans dürfte zum Teil auf dem angeblichen Wunsch der Kommunistischen Partei Chinas (KPCh) beruhen, ihren Einfluss in Afghanistan unter der erneuten Herrschaft der Taliban auszuweiten. Das Telekommunikationsunternehmen bietet eine äußerst wertvolle Plattform für die strategische Informationsbeschaffung, sei es für die Überwachung nachgelagerter Ziele, die Massenerfassung von Kommunikationsdaten oder die Möglichkeit, einzelne Ziele zu verfolgen und zu überwachen. Darüber hinaus misst die chinesische Regierung dem Telekommunikationssektor in den an der Belt and Road Initiative beteiligten Ländern eine strategische Bedeutung bei.

Zeitleiste der Aktivität

Die Insikt Group verfolgt und berichtet regelmäßig über eine Reihe von vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppen, wie beispielsweise unsere jüngste Berichterstattung für RedFoxtrot im Juni 2021 zeigt. Eine der zum Verfolgen dieser Gruppen verwendeten Methoden kombiniert Methoden zur Erkennung gegnerischer Infrastrukturen und aufgezeichnete zukünftige Netzwerkverkehrsanalysedaten (NTA). Durch unsere Verfolgung der bösartigen Infrastruktur, die mit bekannten, vom chinesischen Staat gesponserten Akteuren in Verbindung steht, haben wir im vergangenen Jahr mehrere gleichzeitige Angriffe auf Roshan identifiziert, die mit vier verschiedenen Aktivitätsgruppen in Verbindung stehen:

• Die frühesten festgestellten Aktivitäten, die auf Roshan abzielten, stehen im Zusammenhang mit der mutmaßlich vom chinesischen Staat gesponserten Gruppe Calypso APT. Sie dauerten mindestens von Juli 2020 bis September 2021 und wurden erstmals im August letzten Jahres von der Insikt Group gemeldet.
• Vor Kurzem wurde festgestellt, dass derselbe Roshan-Server von mindestens März bis Mai 2021 mit der Befehls- und Kontrollinfrastruktur von RedFoxtrot PlugX kommunizierte. Während dieser Zeit wurde außerdem festgestellt, dass RedFoxtrot ein zweites afghanisches Telekommunikationsunternehmen ins Visier nahm.
• Zwei weitere Cluster waren ebenfalls am Angriff auf denselben Roshan-Mailserver beteiligt. Diese werden als Winnti- und PlugX-Cluster bezeichnet und in den folgenden Abschnitten näher beschrieben. Beide Cluster scheinen weder miteinander noch mit der Calypso APT- und RedFoxtrot-Aktivität in Verbindung zu stehen, wir sind derzeit jedoch nicht in der Lage, sie einer verfolgten Aktivitätsgruppe zuzuordnen.

Abbildung 1: Timeline of Roshan NTA data exfiltration events versus Afghanistan geopolitical reporting (Source: Recorded Future)

Dass ein und dieselbe Organisation von Aktivitätsgruppen unter der gleichen staatlichen Schirmherrschaft ins Visier genommen wird, ist nicht ungewöhnlich, insbesondere für chinesische Gegner. Viele dieser Gruppen haben unterschiedliche Anforderungen an die Geheimdienstarbeit, und aufgrund der Größe des chinesischen Geheimdienstes sind ihre Zielerfassung und Informationsbeschaffung häufig nicht koordiniert. In diesem Fall kam es, wie in Abbildung 1 zu sehen, zu einem Anstieg der Datenexfiltrationsereignisse im Zusammenhang mit den Einbrüchen von Calypso APT und Winnti im August und September 2021. Dies deutet sowohl auf eine historische strategische Fokussierung auf Afghanistan als auch auf eine weitere Konzentration der Aktivitäten im Einklang mit wichtigen geopolitischen Ereignissen hin.

Afghanistan ist für China aus mehreren Gründen strategisch wichtig, insbesondere nach dem US-Abzug. Zum einen versucht die VR China wahrscheinlich, ihren Einfluss in Afghanistan auszuweiten, um ein Übergreifen regionaler Instabilität und Extremismus auf die angrenzende Uigurische Autonome Region Xinjiang der VR China sowie auf andere zentralasiatische Länder zu verhindern. Diese Probleme rufen nationale Sicherheitsbedenken hervor und erfordern den Schutz der Interessen der VR China in der Region, einschließlich der großen Investitionen im Rahmen der Belt and Road Initiative (BRI). Der Rückzug der USA bietet der VR China auch Möglichkeiten für neue, große BRI-bezogene Projekte und Projekte in der Rohstoffindustrie in Afghanistan.

Technische Analyse

Figur 2: Chart of infrastructure used in Roshan intrusions (Source: Recorded Future)

Wie in Abbildung 2 dargestellt, wurde festgestellt, dass der kompromittierte Roshan-Server mit einer Reihe gegnerischer C2-Infrastrukturen kommuniziert, die insbesondere mit der PlugX-Malware-Familie in Verbindung stehen, die häufig von staatlich geförderten chinesischen Gruppen verwendet wird. Der folgende Abschnitt enthält eine Aufschlüsselung der Einbruchsaktivität nach Gruppen.

RoterFoxtrott

Im Juni 2021 berichtete die Insikt Group über Aktivitäten von RedFoxtrot, die seit mindestens 2014 auf Regierungs-, Verteidigungs- und Telekommunikationsorganisationen in Süd- und Zentralasien abzielten. Wir haben diese Aktivitätsgruppe mit der Einheit 69010 der Netzwerksystemabteilung (NSD) der Strategischen Unterstützungstruppe der Volksbefreiungsarmee (PLASSF) in Ürümqi, Xinjiang, in Verbindung gebracht, und zwar aufgrund der laxen operativen Sicherheit, die von einem mutmaßlichen RedFoxtrot-Betreiber angewendet wird. Die Gruppe verwendet eine Reihe maßgeschneiderter Malware-Varianten, die üblicherweise mit chinesischen Gruppen in Verbindung gebracht werden, etwa IceFog, QUICKHEAL und RoyalRoad, sowie andere, allgemein verfügbare Tools, die oft von mit China verbundenen Bedrohungsakteuren verwendet werden, darunter Poison Ivy, PlugX und PCShare.

In Folgeanalysen im Juli und September 2021 stellten wir fest, dass RedFoxtrot nach der öffentlichen Enthüllung große Teile seiner operativen Infrastruktur aufgab, und berichteten über mehrere neu identifizierte Opfer im Regierungs- und Verteidigungssektor in Indien und Pakistan. Die auf Roshan abzielenden Aktivitäten von RedFoxtrot hörten vor unserer öffentlichen Berichterstattung über die Gruppe im Juni 2021 auf und waren mit der folgenden PlugX-Befehls- und Kontrollinfrastruktur verknüpft:

Tabelle 1: RedFoxtrot PlugX Indicators from Roshan Intrusion

Calypso APT

In March 2021, Insikt Group reported on the Calypso APT conducting a mass exploitation campaign targeting Microsoft Exchange servers using the ProxyLogon exploit chain (CVE-2021-26855, CVE-2021-27065), alongside several other Chinese state-sponsored groups. One of the PlugX C2 domains highlighted in this activity, www.membrig[.]com, remains active and is linked to ongoing intrusion activity targeting Roshan.

Tabelle 2: Calypso APT indicators from Roshan intrusion

Unbekannter Winnti-Cluster

Die Winnti-Hintertür wurde in der Vergangenheit von mehreren vom chinesischen Staat gesponserten Gruppen verwendet, darunter APT41/Barium, APT17 und zuletzt eine Gruppe, die von der Insikt Group als TAG-22 verfolgt wurde . Die Winnti-Hintertür wird häufig mit Aktivitäten in Verbindung gebracht , die mit mehreren Gruppen lose verbundener privater Auftragnehmer zusammenhängen, die im Auftrag des chinesischen Ministeriums für Staatssicherheit (MSS) arbeiten. Im September 2020 erhob das US-Justizministerium Anklage gegen fünf chinesische Staatsangehörige, die mit APT41 in Verbindung stehen, das Zugriff auf die Schadsoftware Winnti hatte. Sie sollten groß angelegte Einbruchsoperationen durchführen, die sich gegen über 100 Opfer weltweit richteten.

In relation to the Roshan targeting, we identified a high level of data exfiltration activity from the targeted Roshan server and the Winnti C2 45.76.144[.]44, from at least August 17 to September 12, 2021. We have been unable to link this Winnti C2 infrastructure with a known group, but it is very likely separate from the RedFoxtrot and Calypso APT activity highlighted above.

Unbekannter PlugX-Cluster

Finally, the same Roshan mail server was also identified communicating with an additional PlugX C2 server from April to August 2021. This PlugX C2, 45.86.162[.]135, is linked to the Australia-based PS hosting reseller Crowncloud.

Ausblick

Mehrere vom chinesischen Staat gesponserte Gruppen sind in Zentralasien nach wie vor äußerst aktiv. Sie operieren jedoch häufig unkoordiniert, was vermutlich auf unterschiedliche Aufgaben und Befehlsketten zurückzuführen ist. Wie andere geopolitische Krisenherde wie Indien und das Südchinesische Meer wird Afghanistan auch nach dem Abzug der USA und der Machtübernahme der Taliban wahrscheinlich ein Hauptziel der Geheimdienstarbeit der chinesischen Regierung bleiben. Telekommunikationsunternehmen sind in diesen Regionen schon immer ein Hauptziel von Cyber-Spionage und aufgrund des hohen Geheimdienstwerts der bei ihnen gespeicherten Daten einem besonders hohen Risiko ausgesetzt. Darüber hinaus betrachtet es die chinesische Regierung als strategische Priorität, Einfluss auf die Telekommunikationssektoren der an der Belt and Road Initiative beteiligten Länder zu nehmen, was ihr einen wachsenden Einfluss in der Debatte über die globale Internet-Governance verschafft.