Chinesische Cyberspionage geht von der Infrastruktur der Tsinghua-Universität aus
Klicken Sie hier , um die komplette Analyse als PDF herunterzuladen.
Hinweis zum Umfang: Recorded Future hat neue Schadsoftware analysiert, die auf die tibetische Gemeinschaft abzielt. Das Ergebnis war eine detaillierte Analyse der Schadsoftware und der zugehörigen Infrastruktur. Zu den Quellen gehören die Plattform von Recorded Future, VirusTotal, ReversingLabs und Metadaten von Drittanbietern sowie gängige OSINT- und Netzwerk-Metadatenanreicherungen wie DomainTools Iris und PassiveTotal. Diese Untersuchung ist Teil einer Reihe, die die Bandbreite der hochentwickelten Techniken beleuchtet, die der chinesische Staat gegen vermeintliche Bedrohungen im Inland einsetzt.
Executive Summary
Im Anschluss an unsere Recherchen, bei denen wir die chinesischen RedAlpha-Kampagnen aufgedeckt haben, die auf die tibetische Gemeinschaft abzielen, hat die Insikt Group von Recorded Future eine neuartige Linux-Hintertür namens „ext4“ identifiziert, die gegen dieselbe tibetische Opfergruppe eingesetzt wird. Durch die Analyse der Hintertür haben wir wiederholte Verbindungsversuche zum selben kompromittierten CentOS-Webserver aufgedeckt, die von einer Infrastruktur ausgingen, die bei der Tsinghua1- Universität, einer chinesischen Elite-Universität, registriert ist.
Wir haben außerdem festgestellt, dass von derselben Infrastruktur der Tsinghua-Universität aus Netzwerkaufklärungsaktivitäten durchgeführt werden, die sich gegen zahlreiche geopolitische Organisationen richten, darunter die Regierung des Bundesstaates Alaska, das Ministerium für natürliche Ressourcen Alaskas, das Büro der Vereinten Nationen in Nairobi und die kenianische Hafenbehörde. Darüber hinaus stellten wir fest, dass der deutsche Automobilkonzern Daimler AG einen Tag nach der Reduzierung seiner Gewinnprognose für das Gesamtjahr mit der Begründung der wachsenden Handelsspannungen zwischen den USA und China gezielt gescannt wurde. In mehreren Fällen fanden diese Aktivitäten während der Phase des chinesischen Dialogs über wirtschaftliche Zusammenarbeit mit diesen Ländern oder Organisationen statt.
Wir gehen mit mittlerer Sicherheit davon aus, dass die von uns aufgedeckten Netzwerkaufklärungsaktivitäten von staatlich geförderten chinesischen Akteuren zur Unterstützung der wirtschaftlichen Entwicklungsziele Chinas durchgeführt wurden.
Wichtige Urteile
Tsinghua IP 166.111.8[.]246 war an der Netzwerkauskundung beteiligt und zielte auf Organisationen in Alaska, Kenia, Brasilien und der Mongolei während Zeiten des Wirtschaftsdialogs oder der Publizität von Chinas Investitionen in ausländische Infrastrukturprojekte im Zusammenhang mit Chinas Vorzeigeprojekt „Belt and Road Initiative“ (BRI).
Die Netzwerk-Aufklärungsaktivitäten gegen Organisationen in Alaska nahmen nach der Reise einer Handelsdelegation des Gouverneurs von Alaska nach China Ende Mai zu. Die Aufklärungsaktivitäten zielten auf Organisationen aus Branchen ab, die im Mittelpunkt der Handelsgespräche standen, etwa der Öl- und Gasindustrie.
Der Angriff auf den deutschen Automobilkonzern Daimler AG erfolgte einen Tag, nachdem dieser angesichts der wachsenden Handelsspannungen zwischen den USA und China eine Gewinnwarnung herausgegeben hatte.
Die geistige Eigentumsrechte von Tsinghua haben mindestens einen Versuch unternommen, sich beim Hochgeschwindigkeits-Internetportal eines Hotels in den USA anzumelden. Wir gehen davon aus, dass dies mit geringer Wahrscheinlichkeit auf die Absicht hindeuten könnte, in die Internet-Gateways von Nomadix im Hotel- und Gaststättengewerbe einzudringen, auf denen anfällige WindWeb-Server laufen.
Die Tsinghua-IP versuchte wiederholt, eine Verbindung mit einem tibetischen Netzwerk herzustellen, das mit einer hochentwickelten Hintertür namens „ext4“ kompromittiert war.
„ext4“ ließ eingehende TCP 443-Verbindungen zum angegriffenen Netzwerk nur während eines 180-Sekunden-Fensters pro Stunde zu, wobei für eine erfolgreiche Verbindung Pakete eine einzigartige Kombination aus TCP-Header-Optionen erforderten. Bei über 20 beobachteten Versuchen übermittelte die Tsinghua-IP nicht die richtigen TCP-Optionen zur Aktivierung der Hintertür. Dies schlug vor:
Die Bedrohungsakteure, die sich von der Tsinghua-IP aus verbanden, waren über die korrekte Verbindungssequenz für die „ext4“-Backdoor nicht gut informiert und machten Fehler.
Der Angriff auf das tibetische Netzwerk hat nichts mit der Präsenz der „ext4“-Hintertür zu tun und die Untersuchung des Netzwerks erfolgte im Rahmen der umfassenderen geopolitischen und wirtschaftlichen Netzwerkaufklärungsaktivitäten des Tsinghua IP.
Hintergrund
Die Volksrepublik China beansprucht die Souveränität über Tibet und betrachtet alle tibetischen Unabhängigkeitsbewegungen als separatistische Bedrohung. Während die VR China viele Formen der Nötigung gegenüber der tibetischen Gemeinschaft anwendet, ist Cyberspionage gegen tibetische Ziele zu einem häufig eingesetzten Mittel geworden, insbesondere in Zeiten erhöhter Spannungen. Der erste bekannte Vorfall chinesischer Cyberspionage gegen Tibet, genannt GhostNet, ereignete sich im Jahr 2008. Dies war Teil eines umfassenderen Versuchs, ausländische Ziele von nationalem Interesse zu überwachen. Seitdem wurden zahlreiche Cyberspionagekampagnen gegen Tibeter dokumentiert, unter anderem im jüngsten RedAlpha-Bericht von Recorded Future.
Die Tsinghua-Universität befindet sich im Bezirk Haidian in Peking. Sie wird als „Chinas MIT“ bezeichnet und ist eine der führenden technischen Forschungsuniversitäten Chinas. Chinesische Universitäten werden oft sowohl direkt als auch indirekt mit vom chinesischen Staat geförderten Cyber-Kapazitäten in Verbindung gebracht. Im Jahr 2015 wurde die APT17-Infrastruktur mit einem Professor an der Southeast University in China verbunden und 2017 ging die Volksbefreiungsarmee (PLA) eine Partnerschaft mit der Jiaotong-Universität Xi‘An ein, um ein Cyber-Miliz-Programm zu erstellen. Die Tsinghua-Universität selbst ist eine staatliche Einrichtung und zählt zu den weltweit führenden Forschungs- und Ingenieurschulen. Die offensiven Cyber-Fähigkeiten der Studenten sind vor allem durch Blue-Lotus bekannt geworden, ein Sicherheitsforschungsteam, das aus Personen besteht, die mit der Universität Tsinghua verbunden sind. Beim Capture-the-Flag-Wettbewerb 2016 der DEF CON belegte das Team den zweiten Platz .
Forschungsabteilungen der Tsinghua-Universität haben auch Verbindungen zu staatlichen Organisationen, die in der Vergangenheit US-Technologie gestohlen haben. Das Büro für wissenschaftliche Forschung und Entwicklung der Universität Tsinghua traf sich im Mai 2018 mit der China CITIC Group zum Zweck der Sitzungsaktivitäten der Kommunistischen Partei, bei der sie die strategische Zusammenarbeit zwischen Unternehmen und Forschungsinstituten zur Förderung der Entwicklung des Landes besprachen. Im Sonderausschuss für die nationale Sicherheit der USA und militärisch-kommerzielle Belange der VR China aus dem Jahr 1999 (dem sogenannten „Cox-Bericht“) wurde CITIC mit verdeckten Operationen der PLA und dem Diebstahl sensibler US-Technologie in Verbindung gebracht. Der Cox-Bericht erwähnte auch einen Versuch von CITIC im Jahr 1990, im Auftrag der PLA einen US-amerikanischen Hersteller von Flugzeugteilen zu übernehmen, um Zugang zu US-exportkontrollierter Luft- und Raumfahrttechnologie zu erhalten. Darüber hinaus war der ehemalige Vorsitzende von CITIC, Wang Zhen, an der Anklageerhebung gegen Poly Technologies aus dem Jahr 1996 beteiligt, die auf den Versuch des Unternehmens zurückging, 2.000 chinesische Sturmgewehre des Typs AK-47 in die Vereinigten Staaten zu schmuggeln.
Das Institute of Information Systems and Engineering der Tsinghua University ist außerdem offen mit den nationalen Programmen 863 und 973 Chinas verbunden. Das Programm 863, auch bekannt als staatlicher High-Tech-Entwicklungsplan, konzentriert sich auf die Entwicklung nationaler Kapazitäten in Chinas wichtigsten Technologiebranchen, während das Programm 973, das 1997 ins Leben gerufen wurde, sich auf die Entwicklung der Basistechnologien konzentriert, die zur Erzielung der technologischen Überlegenheit in den Schlüsselbranchen erforderlich sind. Beide Programme hatten zur Folge, dass es für China einfacher wurde, geistiges Eigentum zu stehlen, um die Programmziele zu erreichen.
In den vergangenen zehn Jahren wurden mehrere vom chinesischen Staat gesponserte Cyber-Bedrohungsakteure identifiziert, die groß angelegte Cyber-Spionage betrieben und damit direkt die politischen Vorgaben Chinas widerspiegelten, sich in strategischen Schlüsselindustrien einen wissenschaftlichen, technischen und wirtschaftlichen Vorteil zu verschaffen. Diese Aktivität konnte zuletzt bei Operationen von APT10 beobachtet werden, die auf Managed-IT-Serviceprovider abzielten, und bei APT17, das 2017 massive Supply-Chain-Angriffe auf das beliebte Softwareprodukt CCleaner durchführte.
Bedrohungsanalyse
Recorded Future entdeckte die Präsenz der „ext4“-Hintertür im Zuge unserer laufenden Recherchen zu Angriffen auf die tibetische Gemeinschaft. Diese Hintertür wurde für die Ausführung auf einem Linux-Webserver mit CentOS konfiguriert und heimlich so konzipiert, dass sie in eine Systemdatei eingebettet werden kann. Die Hintertür war größtenteils inaktiv, außer während eines dreiminütigen Zeitfensters pro Stunde, in dem sie aktiviert wurde und eingehende Verbindungen über TCP-Port 443 akzeptierte.
Insgesamt konnten wir dank der einzigartigen Abdeckung von Recorded Future zwischen Mai und Juni 2018 23 Verbindungsversuche mit demselben kompromittierten CentOS-Server beobachten. Alle Versuche gingen von derselben IP-Adresse aus, nämlich 166.111.8[.]246, die zum China Education and Research Network Center führte. Aus den WHOIS-Aufzeichnungen geht hervor , dass die IP in einem großen /16-CIDR-Bereich liegt, der auf eine Adresse an der „Tsinghua University“ registriert ist.
Wie im PCAP unten vermerkt, wurde in jedem Paket, das versuchte, von der Tsinghua-IP aus eine Verbindung zum tibetischen Netzwerk herzustellen, eine einzigartige Auswahl von Optionen im TCP-Header beobachtet, die auf die maximal mögliche Segmentgröße von 60 Byte eingestellt war.
Der „ext4“-Code scheint eindeutig zu sein, da es im Internet keine auffälligen Hinweise auf Code- oder Namensähnlichkeiten gibt. Abgesehen von unserer Meldung wurden bis zum 3. August 2018 in führenden Multi-Scanner-Repositories keine Uploads einer Hintertür beobachtet, die den Hauptmerkmalen von „ext4“ ähnelt. Eine Erkennungsrate von 0/58 in VirusTotal bestätigte, dass es sich bei der von uns entdeckten „ext4“-Probe um eine neue und einzigartige Hintertür handelte, die auf die tibetische Gemeinschaft abzielte.
Eine detaillierte Analyse der Binärdatei „ext4“ finden Sie im Abschnitt „Technische Analyse“ dieses Berichts.
Universität Tsinghua IP 166.111.8[.]246
Diese IP wurde erstmals am 23. März 2018 in Recorded Future beobachtet und mehreren IP-Anreicherungsquellen zufolge dem Chinese Education and Research Network Center (CERNET) zugeordnet. CERNET ist eines der sechs wichtigsten Backbone-Netzwerke Chinas und eine Sammelorganisation, die einen großen Teil des adressierbaren IP-Raums bedient, der chinesischen Hochschulen und Forschungsinstituten vorbehalten ist. Wie bereits erwähnt, bestätigen WHOIS-Aufzeichnungen, dass die IP in einem Bereich liegt, der bei der „Tsinghua University“ registriert ist.
Verfügbare Port-Scan-Daten haben gezeigt, dass die IP derzeit mit mehreren aktiv laufenden Diensten konfiguriert ist, darunter PPTP (TCP-Port 1723), MySQL (3306) und MAMP (8888) sowie die gängigeren Dienste OpenSSH (22), HTTP (80, 8080, 8008), SSL (443, 8443, 9443) und VPN IKE (500). Die HTTP-Ports schienen als NGINX-Webserver konfiguriert zu sein, wahrscheinlich als Reverse-Proxys oder Load Balancer, angesichts der Art der Aktivität, die wir von dieser IP aus beobachtet haben. Die große Anzahl offener Ports und zugehöriger Dienste weist darauf hin, dass es sich bei der Tsinghua-IP um ein Internet-Gateway oder einen VPN-Endpunkt handeln könnte.
Aufgezeichnete zukünftige Anreicherungen der IP zeigen, dass sie in der Vergangenheit die Quelle von Scans, Brute-Force-Angriffen und aktiven Ausnutzungsversuchen war. Es hat mehrere Risikoregeln ausgelöst, darunter eine Markierung durch das Taichung City Education Bureau in Taiwan, das aus China stammende bösartige Cyberindikatoren verfolgt, und es erscheint auf einer schwarzen Liste von AlienVault. Die Metadatenanalyse der IP weist außerdem darauf hin, dass es sich wahrscheinlich um ein Gateway, NAT oder Proxy handelt und dass sich der wahre Ursprungscomputer für diese Aktivität hinter dieser IP befindet.
Es wurde auch beobachtet, dass die gleiche IP-Adresse eine groß angelegte Netzwerkauskundschaftung von Organisationen durchführte, die zu diesem Zeitpunkt in wichtige Handelsgespräche mit chinesischen Staatsunternehmen verwickelt waren. Wir gehen davon aus, dass diese Aufklärungsaktivitäten kein Zufall waren, da sie im Großen und Ganzen mit den strategischen und wirtschaftlichen Interessen Chinas übereinstimmen.
„Chance Alaska“
Zwischen dem 6. April und dem 24. Juni 2018 beobachteten wir über eine Million IP-Verbindungen zwischen der Tsinghua-IP und mehreren Netzwerken in Alaska, darunter:
- Die Alaska Communications Systems Group
- Ministerium für natürliche Ressourcen Alaskas
- Alaska Strom- und Telefongesellschaft
- Regierung des Staates Alaska
- TelAlaska
Die große Zahl der Verbindungen zwischen der Tsinghua-IP und den oben genannten Organisationen beziehen sich auf Massenscans der Ports 22, 53, 80, 139, 443, 769 und 2816 in den Netzwerken in Alaska und wurden wahrscheinlich durchgeführt, um Schwachstellen festzustellen und sich unrechtmäßigen Zugriff zu verschaffen. Die Scan-Aktivität wurde systematisch durchgeführt, wobei ganze IP-Bereiche den Organisationen gewidmet wurden, die auf die oben genannten Ports untersucht wurden.
Diese Angriffe auf die Regierung des Bundesstaates Alaska folgten auf Alaskas große Handelsmission nach China, die den Spitznamen „Opportunity Alaska“ trug. Diese Handelsmission fand Ende Mai statt und wurde von Bill Walker, dem Gouverneur von Alaska, geleitet. Eine der wichtigsten Diskussionen während dieser Gespräche drehte sich um die Aussicht auf eine Gaspipeline zwischen Alaska und China. Trotz der Befürchtungen eines Handelskriegs zwischen China und den USA erklärte das Büro von Gouverneur Walker, dass die Handelsmission „einige der besten Dinge repräsentiere, die Alaska zu bieten hat, und ... die große Bandbreite unserer gemeinsamen Interessen mit unserem größten Handelspartner [hervorhebe]“. Opportunity Alaska bestand aus Delegierten alaskischer Unternehmen aus den Bereichen Fischerei, Tourismus, Architektur und Investment und machte Halt in Peking, Shanghai und Chengdu.
Recorded Future beobachtete die Scan-Aktivitäten der Netzwerke in Alaska erstmals Ende März, nur wenige Wochen nachdem Gouverneur Walker eine Handelsdelegation nach China angekündigt hatte. Die Aktivitäten nahmen einige Tage vor der Ankunft der Delegation am 20. Mai 2018 zu und ließen nach, als die Delegation eintraf. Bis zum 28. Mai, als die Delegation ihre Aktivitäten abschloss, wurden die Netzwerke in Alaska nur auf niedrigem Niveau untersucht. Mit der Abreise der Delegierten aus China wurden die Untersuchungen dann jedoch beträchtlich intensiviert. Der Anstieg der Scan-Aktivität am Ende von Handelsgesprächen zu verwandten Themen deutet darauf hin, dass es sich dabei wahrscheinlich um einen Versuch handelte, Einblick in die Sichtweise Alaskas auf die Reise und einen strategischen Vorteil für die Verhandlungen nach dem Besuch zu gewinnen.
Zwischen dem 20. und 24. Juni kam es zu einem weiteren Anstieg des Interesses an den Netzwerken des Staates Alaska und des Alaska Department of Natural Resources. Dies geschah möglicherweise als Reaktion auf die Ankündigung von Gouverneur Walker vom 19. Juni, er wolle Washington D.C. besuchen, um dort mit US-amerikanischen und chinesischen Politikern zusammenzutreffen und seine Bedenken hinsichtlich des wachsenden Handelsstreits zwischen den beiden Ländern zu äußern.
Die „Belt and Road Initiative“ und Chinas wirtschaftliche Ziele
Während unserer Untersuchungen beobachteten wir auch, wie die Tsinghua-IP-Ports scannte und die Netzwerke von Regierungsbehörden und kommerziellen Unternehmen in der Mongolei, in Kenia und Brasilien untersuchte. Jedes dieser Länder ist im Rahmen der Belt and Road Initiative Chinas ein wichtiges Investitionsziel.
Chinas Belt and Road Initiative (BRI) ist eines der ehrgeizigsten Programme von Präsident Xi Jinping. Das Projekt soll Chinas transformativen geopolitischen Einfluss auf die ganze Welt ausdehnen; Ausmaß und Umfang sind beispiellos. Peking hat Investitionen von vier Billionen Dollar in Infrastruktur- und Entwicklungsprojekte in 65 Ländern zugesagt. Diese betreffen 70 Prozent der Weltbevölkerung und 75 Prozent der weltweiten Energiereserven. Das Projekt zielt darauf ab, die wichtigsten Wirtschaftszentren Eurasiens über Land und Meer miteinander zu verbinden. Viele dieser Zentren lagen bereits vor zweitausend Jahren an der historischen Seidenstraße.
Laut The Diplomat „zielt die BRI darauf ab, Chinas westliche Peripherie zu stabilisieren, seine Wirtschaft neu anzukurbeln, nicht-westliche internationale Wirtschaftsinstitutionen voranzutreiben, in anderen Ländern an Einfluss zu gewinnen und Handelslieferanten/-routen zu diversifizieren und gleichzeitig die Hinwendung der USA zu Asien zu umgehen.“
Ziel der BRI ist es zudem, den geopolitischen und wirtschaftlichen Einfluss Chinas in Afrika weiter zu stärken und dabei von den erheblichen Infrastrukturinvestitionen zu profitieren, die auf dem gesamten Kontinent getätigt werden. Insbesondere Kenia hat aufgrund seines strategischen geografischen Vorteils in Chinas Maritime Silk Road Initiative (MSRI) – der seegestützten Komponente der chinesischen BRI-Initiative – erhöhte Aufmerksamkeit auf sich gezogen.
Kenia kündigte Anfang des Jahres an, dass es im Rahmen der BRI Lobbyarbeit für regionale Projekte betreiben werde. China hat bereits eine 480 Kilometer lange Eisenbahnstrecke zwischen der kenianischen Hafenstadt Mombasa und der Hauptstadt Nairobi finanziert. Später soll die Bahnstrecke auch auf die Nachbarländer Uganda, Ruanda und Burundi ausgedehnt werden . Im Mai 2018 kündigte Kenia jedoch an, dass es ein mit den Staaten der Ostafrikanischen Gemeinschaft (EAC) diskutiertes Freihandelsabkommen mit China nicht unterzeichnen werde , was zu Spannungen zwischen Peking und Nairobi führte.
Anfang Juni 2018 beobachteten wir, wie die IP-Adresse von Tsinghua die Ports 22, 53, 80, 389 und 443 verschiedener kenianischer Internet-Hosting-Anbieter und Telekommunikationsunternehmen aggressiv scannte, sowie Bereiche der Kenya Ports Authority, einem staatlichen Unternehmen, das für die Wartung und den Betrieb aller kenianischen Seehäfen verantwortlich ist. Recorded Future identifizierte außerdem Netzwerk-Aufklärungsaktivitäten, die sich gegen das Büro der Vereinten Nationen in Nairobi, die Strathmore University in Kenia und ein umfassenderes nationales Bildungsnetzwerk richteten.
Das folgende Diagramm zeigt einen deutlichen Anstieg der Netzwerkaufklärungsaktivitäten gegen kenianische Organisationen vom Tsinghua-IP aus. Dieser sprunghafte Anstieg erfolgte lediglich zwei Wochen, nachdem Kenia seine Absicht bekannt gegeben hatte, das Freihandelsabkommen zwischen China und der EAC nicht zu unterstützen.
Im April dieses Jahres fügte Präsident Xi Brasilien der Liste der Länder hinzu, die im Rahmen der BRI chinesische Infrastrukturinvestitionen erhalten. Die Finanzierung eines neuen Hafens im nordöstlichen Bundesstaat Maranhão im Wert von 520 Millionen US-Dollar wurde angekündigt. Dabei werden die umfangreichen chinesischen Investitionen in die Bildungs- und Energiesektoren eines anderen brasilianischen Bundesstaates, Amapá, im Jahr 2016 vorangetrieben.
Unsere Untersuchungen haben ergeben, dass es zwischen dem 2. April und dem 11. Juni 2018 wiederholt Versuche der Tsinghua-IP gab, eine Verbindung zum Ministério Público do Estado Do Amapá in Brasilien (Staatsministerium des Bundesstaates Amapá) herzustellen. Das geschah nur einen Monat, nachdem die in Peking ansässige China Communications Construction Co. mit den Bauarbeiten am Hafen von Maranhão begonnen hatte.
Außerdem beobachteten wir zwischen dem 6. und 12. April 2018 wiederholte Versuche, eine Verbindung zu Organisationsnetzwerken herzustellen, etwa zum National Data Center Building in der Mongolei und zur Mongolian University of Science and Technology. Auch in den BRI-Plänen Chinas spielt die Mongolei eine entscheidende Rolle. Der Landanteil der BRI, bekannt als Wirtschaftsgürtel entlang der Seidenstraße (Silk Road Economic Belt, SREB), sieht eine neue eurasische Landbrücke und nicht weniger als fünf neue Wirtschaftskorridore vor , darunter einen Korridor zwischen China, der Mongolei und Russland.
Wir gehen mit mittlerer Sicherheit davon aus, dass die von den Tsinghua-IP-Sondierungsnetzwerken in Kenia, Brasilien und der Mongolei beobachtete anhaltende Aufklärungsaktivität eng mit den wirtschaftlichen Entwicklungszielen der BRI übereinstimmt und zeigt, dass der Bedrohungsakteur, der diese IP verwendet, im Auftrag des chinesischen Staates Cyberspionage betreibt.
Die Auswirkungen der wachsenden Handelsspannungen zwischen den USA und China
Am 20. Juni 2018 reduzierte der deutsche multinationale Automobilkonzern Daimler AG als erstes namhaftes Unternehmen seine Gewinnprognose aufgrund der eskalierenden Handelsspannungen zwischen den USA und China. Am nächsten Tag, dem 21. Juni, beobachteten wir Netzwerkaufklärungsaktivitäten, die speziell auf die Ports 139, 22, 443 und 53 in Netzwerken abzielten, die zu Daimler AG aufgelöst wurden. Die Sonden stammten von derselben IP der Tsinghua-Universität.
Interaktion mit dem in den USA verwalteten Anbieter von Hotelnetzwerklösungen
Eine Shodan-Abfrage auf der Tsinghua-IP gab eine HTTP 302-Antwort zurück, die eine „snap.safetynetaccess.com“ bereitstellte. Umleitungsbenachrichtigung. Safety NetAccess mit Sitz in Needham, Massachusetts, baut drahtlose Netzwerke für Hotels, Resorts und andere öffentliche Einrichtungen; zu seinen Kunden zählen unter anderem die Hotelketten Hilton, Marriott, Sonesta und Wyndham. Laut der Safety NetAccess-Website ist SNAP das „fortgeschrittene Back-End-Softwareprogramm“, das den Agenten von Safety NetAccess „direkten Zugriff auf sämtliche verwalteten Geräte an jedem Standort“ bietet. Auch wenn die Felder in der Umleitungsmitteilung möglicherweise unklar aussehen, entsprechen sie den Portalseitenparametern für Nomadix Internet Gateways – dem primären Gateway- und Routing-Ausrüstungsanbieter von Safety NetAccess.
Aus der HTTP-Header-Antwort (oben) ging hervor, dass die Cox Communications IP 98.180.88[.]145 ursprünglich vom „Teilnehmer“ (SIP), der Tsinghua IP 166.111.8[.]246, angefordert wurde. Wenn Sie zur IP-Adresse von Cox Communications navigieren, werden Sie zu einem Safety NetAccess-Internetportal für Gäste in einem Holiday Inn-Hotel in Ocala, Florida, weitergeleitet.
Durch Aufschlüsselung der URL im Feld „Standort“ in der HTTP-Antwort erhalten wir die MAC-Adresse des Tsinghua-Geräts (00:13:5F:07:87:D9) und die IP-Adresse des Nomadix-Geräts (68.105.161[.]74). in der URL als UIP angezeigt. Die UIP wird zu Cox Communications in Ocala, Florida, aufgelöst, und Open-Source-Recherchen deuten darauf hin, dass es sich bei dem Gerät, auf dem diese UIP gehostet wird, um ein im Rack montiertes AG 3100 Nomadix-Internet-Gateway handelt, das DNS- und HTTP-Umleitung mithilfe einer magischen IP unterstützt. Dieses UIP scheint auch einen anfälligen WindWeb- Server auf Port 443 auszuführen. Shodan-Ergebnisse zeigen fehlgeschlagene FTP-Anmeldeversuche beim Internet-Gateway sowie Telnet-Ereignisse.
Auf Grundlage der wenigen uns zur Verfügung stehenden Daten gehen wir mit geringer Wahrscheinlichkeit davon aus, dass die IP von Tsinghua versucht hat, die Remote-Verwaltungszugriffskontrollen auszunutzen, die durch das SNAP-Portal von Safety NetAccess für das Holiday Inn-Hotel in Florida aktiviert wurden.
Ist die „ext4“-Hintertür mit der Tsinghua-IP verbunden?
Durch die Entdeckung der „ext4“-Hintertür auf einem tibetischen Gerät konnten wir die umfassendere Angriffsstrategie auf das Gerät über die IP der Tsinghua-Universität identifizieren. Keiner der Verbindungsversuche mit dem tibetischen Gerät von der Tsinghua-IP aus führte jedoch zur erfolgreichen Aktivierung der Hintertür. Somit bleibt unklar, ob die Bedrohungsakteure hinter den umfassenden Netzwerkaufklärungsaktivitäten auch für die „ext4“-Hintertür verantwortlich waren.
Somit bleiben uns zwei mögliche Szenarien, die die Beteiligung der „ext4“-Hintertür in einem tibetischen Netzwerk mit der Tsinghua-IP erklären:
- Die Tsinghua-IP wird von einem Bedrohungsakteur verwendet, um auf die „ext4“-Hintertür zuzugreifen, aber ein technischer Fehler oder ein Bedienerfehler führt zu einer Fehlkonfiguration der TCP-Verbindungspakete, die zur Herstellung der Kommunikation mit der Hintertür erforderlich sind.
- Die Tsinghua-IP wird in großem Umfang für die Netzwerkauskundschaftung und Cyberspionage gegen strategische Wirtschafts- und Staatsinteressen eingesetzt. Dabei werden nicht nur Länder ins Visier genommen, mit denen China im Rahmen der BRI interagiert, sondern auch Organisationen der „Fünf Gifte2“ wie das tibetische Netzwerk. Die „ext4“-Hintertür gehört daher wahrscheinlich einem anderen Bedrohungsakteur, der nicht an den Netzwerk-Scan-Aktivitäten gegen Organisationen beteiligt ist, die zuvor in diesem Bericht beschrieben wurden.
Technische Analyse
Die „ext4“-Hintertür
„ext4“ ist eine neuartige Linux-Hintertür, die zum selben Zeitpunkt (Mai bis Juni 2018) im Netzwerk des Opfers vorhanden war, als die IP-Aufklärungsaktivität von Tsinghua beobachtet wurde. Insgesamt wurden in diesem Zeitraum von der Tsinghua-IP aus 23 Versuche unternommen, über TCP 443 eine Verbindung zum Opfergerät herzustellen.
Die Hintertür „ext4“ wurde beim Ausführen innerhalb einer legitimen System-„ Cron“-Datei auf einem kompromittierten CentOS-Webserver entdeckt, der mit der tibetischen Gemeinschaft verbunden ist. Eine Analyse der geänderten Systemdateien ergab, dass die Datei „0anacron“ „cron“ geändert wurde, um eine nicht standardmäßige Binärdatei namens „ext4“ auszuführen, die sich im Verzeichnis /usr/bin/ext4 auf dem angegriffenen Server befindet. Die Binärdatei wurde so konfiguriert, dass sie stündlich und – interessanterweise – als Hintergrundprozess ausgeführt wird. Dadurch wird die Anzeige jeglicher Ausgabe in der Standardausgabe des Linux-Terminals unterdrückt, sodass sie für den Administrator des Webservers weniger erkennbar ist.
Die Binärdatei „ext4“ war mit nur 9511 Bytes relativ klein und bestand aus einfachen Funktionen. Es wurde dynamisch mit der libpcap-Bibliothek verknüpft, die auf Unix-Systemen vorhanden ist, um das Erfassen von Paketen (PCAP- Dateien) zu ermöglichen, das normalerweise von „Netzwerk-Sniffer“ verwendet wird.
Es gab drei Hauptfunktionen, die den Betrieb der Hintertür steuerten: „main“, „process“ und „my_pcap_handler“. Alle diese Funktionen fließen zusammen, um die Hauptfunktionalität der Hintertür auszuführen.
Hauptfunktion
Die Hauptfunktion führte drei zentrale Aufgaben aus: die Datei „tmp/0baaf161db39“ zu entfernen, einen untergeordneten Prozess zu erstellen, der die Backdoor-Funktionalität ausführt, und einen Sleep-Timer von 180 Sekunden einzustellen. Der Vorgang wird beendet, wenn das Limit des Sleep-Timers erreicht ist.
Darüber hinaus überprüfte die Hauptfunktion auch die Befehlszeilenargumente, um zu bestimmen, welche Netzwerkschnittstelle im kompromittierten Netzwerk überwacht werden soll. Standardmäßig verwendet „ext4“ „eth0“.
Prozessfunktion
Der Hauptzweck der Prozessfunktion bestand darin, einen Handle zum Erfassen des Netzwerkverkehrs zu erstellen, was mithilfe der Libpcap-Funktion „pcap_open_live“ erfolgte.
Nachdem der Handle erstellt worden war, wurde eine weitere libpcap-Funktion, „pcap_loop“, ausgeführt, die alle an die in „pcap_open_live“ angegebene Schnittstelle gesendeten Pakete verarbeitete und sie an die Funktion „my_packet_handler“ schickte, um sie zu analysieren und Aktionen basierend auf dem Typ des gesendeten Pakets auszuführen.
Funktion „my_packet_handler“
Alle an eine angegebene Netzwerkschnittstelle gesendeten Pakete wurden von der Funktion „my_packet_handler“ empfangen. Der Handler analysiert dann die Ethernet-, IP- und TCP-Header3, um eine Reihe von Prüfungen durchzuführen und zu bestätigen, dass es sich um ein Paket handelt, das er verarbeiten soll. Nach der Validierung dekodierte die Funktion die Nutzlast, bei der es sich normalerweise um einen Befehl handelte, der an eine Bash-Shell auf dem angegriffenen CentOS-Host übermittelt wurde.
Die folgenden Schritte demonstrieren die Analyse- und Validierungskriterien, die die Funktion verwendet hat, um sicherzustellen, dass sie die richtigen Pakete verarbeitet hat. Wenn die Funktion zu irgendeinem Zeitpunkt unerwartete Ergebnisse erhält, wird das Paket aus der Funktion gelöscht und das nächste verarbeitet.
- Überprüfen Sie den Ethernet-Header, um sicherzustellen, dass es sich um den Typ IP (Typ 2048) handelt.
- Die Länge des IP-Headers wird aus dem IP-Header analysiert.
- Analysieren Sie den IP-Header, um sicherzustellen, dass es sich bei dem Protokoll um TCP (Typ 6) handelt.
- Analysieren Sie den TCP-Header, um sicherzustellen, dass der Zielport 443 ist.
- Suchen Sie den Datenoffset oder den Beginn der Nutzlast.
- Überprüfen Sie, ob die TCP-Flags 322 betragen. Dies bedeutet, dass die folgenden Flags gesetzt sind: NS (Nonce Sum), ECE (ECN-Echo) und SYN.
Die Aufschlüsselung der Flags ist wichtig, da geprüft wird, ob SYN und ECE sowie das NS-Flag gesetzt sind. Das NS-Flag dient dem Schutz vor versehentlichem oder böswilligem Verbergen markierter Pakete vor dem TCP-Absender.
Das ECE-Flag zeigt an, ob der TCP-Peer mit Explicit Congestion Notification (ECN) kompatibel ist. ECN ist eine optionale Erweiterung von TCP, die verhindert, dass Pakete aufgrund von Überlastung verloren gehen. Während die Verwendung von ECN in größeren Unternehmen mit ECN-fähigen Routern normal sein kann, scheint die Verwendung des NS-Bits experimentell zu sein und wird in keiner TCP-Implementierung offiziell verwendet.
Wenn ein Paket alle Kriterien erfüllt, ruft die Funktion die Länge der Nutzlast ab und prüft, ob sie zwischen fünf und 1024 Bytes liegt. Anschließend weist es Speicher zu und speichert die Nutzlast im Speicher.
Die Nutzlast ist XOR-codiert und das erste Byte der Nutzlast ist der XOR-Schlüssel. Die Funktion verwendet das erste Byte der Nutzlast, um die nächsten fünf Bytes zu dekodieren und zu prüfen, ob sie der Zeichenfolge „anti:“ entsprechen.
Wenn die dekodierten Bytes „anti:“ entsprechen, wird der Rest der Nutzlast dekodiert und als letztes Argument übergeben, um mit dem Execl-Aufruf einen Bash-Befehl auszuführen.
Ausblick
China nutzt weiterhin Cyberoperationen zur Überwachung und Verfolgung von Bedrohungen der inneren Stabilität, die treffend als die „Fünf Gifte“ zusammengefasst werden. Durch die Konzentration auf inländische Bedrohungen sind Sicherheitsforscher in der Lage, neue Kampagnen und Tools zu identifizieren, die aggressiv gegen verfolgte Gemeinschaften eingesetzt werden. „ext4“ ist eine hochentwickelte, leichtgewichtige Linux-Hintertür, die es Bedrohungsakteuren ermöglicht, auf das angegriffene Gerät zuzugreifen und weitere bösartige Aktivitäten durchzuführen. Es handelt sich zudem um ein Beispiel für ein Mittel, das vermutlich von chinesischen staatlichen Akteuren eingesetzt wird, um die tibetische Gemeinschaft ins Visier zu nehmen.
Darüber hinaus unterstreicht die weit verbreitete Verwendung von CentOS-Servern, von denen viele ungepatcht und in Produktionssystemen verwendet werden, die Breite der potenziellen Angriffsfläche.
Dank seiner Belt and Road Initiative und seiner langfristigen Investitionen in die afrikanische Infrastruktur konnte das Land in den Zielländern dieser Politik enormen Einfluss ausüben . Wir gehen mit mittlerer Sicherheit davon aus, dass die umfassenden Netzwerkaufklärungsaktivitäten, die von der Infrastruktur der Tsinghua-Universität ausgehen und auf wirtschaftliche Interessen in Kenia, der Mongolei und Brasilien abzielen, staatlich gesteuert werden.
China hat zur Unterstützung seiner nationalen Wirtschaftsinteressen wiederholt Cyberspionage betrieben. Im November 2017 erhob das US-Justizministerium Anklage gegen drei chinesische Hacker, die der Wirtschaftsspionage im Internet für schuldig befunden wurden. Darüber hinaus wies das US-amerikanische National Counterintelligence and Security Center in seinem jüngsten Bericht über ausländische Wirtschaftsspionage im Cyberspace darauf hin, dass die chinesischen Bedrohungsakteure APT10, KeyBoy und Temp.Periscope umfangreiche Cyberspionage zur Verfolgung strategischer nationaler und wirtschaftlicher Ziele betrieben hätten.
Abgesehen von der Entdeckung der „ext4“-Hintertür, die auf die tibetische Gemeinschaft abzielte, konnten wir in keiner der in diesem Bericht dokumentierten Organisationen das Vorhandensein von Schadsoftware feststellen, da der Großteil unserer Analyse auf Metadaten von Drittanbietern basierte. Wir gehen jedoch mit mittlerer Sicherheit davon aus, dass das gezielte Scannen und Untersuchen von Netzwerken während des Zeitraums des bilateralen Handels und des strategischen Dialogs zwischen China und seinen Partnern in Alaska, Kenia, Brasilien und der Mongolei darauf hindeutet, dass die Aktivität von einem Bedrohungsakteur (oder mehreren Bedrohungsakteuren mit Zugriff auf denselben Tsinghua-Endpunkt) unter der Leitung des chinesischen Staates durchgeführt wird.
Empfehlungen zur Netzwerkverteidigung
Recorded Future empfiehlt Unternehmen die Durchführung der folgenden Maßnahmen zur Abwehr feindlicher Netzwerkauskundschaften und der möglichen Bereitstellung einer CentOS-Hintertür durch den in diesem Bericht beschriebenen chinesischen Bedrohungsakteur:
- Konfigurieren Sie Ihre Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) so, dass sie vor Verbindungsversuchen von der IP 166.111.8[.]246 der Tsinghua-Universität warnen und diese blockieren.
- Führen Sie mithilfe der bereitgestellten Yara-Regel für die „ext4“-Hintertür Scans aller Linux-Hosts in Netzwerken durch, um das Vorhandensein der Hintertür zu prüfen.
- Stellen Sie gegebenenfalls sicher, dass die Yara-Regel „ext4“ auf dem in Ihrer Organisation verwendeten Endgeräteschutzgerät bereitgestellt wird. Durchsuchen Sie Linux-Hosts nach den Dateien „/usr/bin/ext4“ und „/tmp/0baaf161db39“.
Darüber hinaus empfehlen wir Organisationen, die folgenden allgemeinen Best-Practice-Richtlinien zur Informationssicherheit zu befolgen:
- Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand; insbesondere Betriebssysteme, Antivirensoftware und wichtige Systemdienstprogramme.
- Filtern Sie E-Mail-Korrespondenz und überprüfen Sie Anhänge auf Malware.
- Erstellen Sie regelmäßig Backups Ihres Systems und speichern Sie die Backups offline, am besten außerhalb des Standorts, sodass die Daten nicht über das Netzwerk abgerufen werden können.
- Überlegen Sie sich einen gut durchdachten Reaktions- und Kommunikationsplan für Vorfälle.
- Achten Sie auf eine strikte Abschottung unternehmensrelevanter Daten. Achten Sie insbesondere darauf, auf welche Daten jemand mit Zugriff auf ein Mitarbeiterkonto oder -gerät Zugriff hätte (beispielsweise durch Geräte- oder Kontoübernahme durch Phishing). Erwägen Sie ernsthaft die Einführung eines rollenbasierten Zugriffs, die Beschränkung des unternehmensweiten Datenzugriffs und die Einschränkung des Zugriffs auf vertrauliche Daten.
- Setzen Sie hostbasierte Kontrollen ein – eine der besten Abwehrmaßnahmen und Warnsignale zur Abwehr von Angriffen ist die Durchführung clientbasierter Host-Protokollierung und Angriffserkennungsfunktionen.
- Implementieren Sie grundlegende Bereitstellungen und Kontrollen zur Reaktion auf Vorfälle und zur Erkennung, wie Netzwerk-IDS, Netflow-Sammlung, Host-Protokollierung und Web-Proxy, neben der menschlichen Überwachung der Erkennungsquellen.
- Beachten Sie die Sicherheitsstandards Ihrer Partner oder Lieferkette. Die Fähigkeit, Sicherheitsstandards für Ökosystempartner zu überwachen und durchzusetzen, ist ein wichtiger Teil der Sicherheitslage jedes Unternehmens.
Eine vollständige Liste der zugehörigen Kompromissindikatorenfinden Sie im Anhang der PDF-Version dieser Analyse.
1Die Tsinghua-Universität wird auch als Qinghua-Universität romanisiert.
2Bei den „Fünf Giften“ handelt es sich nach Ansicht der Kommunistischen Partei Chinas um Bedrohungen für ihre Stabilität. Dazu zählen die Uiguren, die Tibeter, Falun Gong, die chinesische Demokratiebewegung und die taiwanesische Unabhängigkeitsbewegung.
3Als Referenz haben wir in Anhang A eine Tabelle bereitgestellt, die die Offsets für die Ethernet-, IP- und TCP-Header zeigt. Dies kann verwendet werden, um zu verfolgen, wie diese Funktion die Header analysiert.
Verwandt