Chinesische Cyberspionage geht von der Infrastruktur der Tsinghua-Universität aus

Klicken Sie hier um die komplette Analyse als PDF herunterzuladen.

Scope Note: Recorded Future analyzed new malware targeting the Tibetan community, resulting in a detailed analysis of the malware and its associated infrastructure. Sources include Recorded Future’s platform, VirusTotal, ReversingLabs, and third-party metadata, as well as common OSINT and network metadata enrichments, such as DomainTools Iris and PassiveTotal. This research is part of a series highlighting the breadth of sophisticated techniques used by the Chinese state against perceived domestic threats.

Executive Summary

Im Anschluss an unsere Recherchen, bei denen wir die chinesischen RedAlpha-Kampagnen aufgedeckt haben, die auf die tibetische Gemeinschaft abzielen, hat die Insikt Group von Recorded Future eine neuartige Linux-Hintertür namens „ext4“ identifiziert, die gegen dieselbe tibetische Opfergruppe eingesetzt wird. Durch die Analyse der Hintertür haben wir wiederholte Verbindungsversuche zum selben kompromittierten CentOS-Webserver aufgedeckt, die von einer Infrastruktur ausgingen, die bei der Tsinghua^1- Universität, einer chinesischen Elite-Universität, registriert ist.

Wir haben außerdem festgestellt, dass von derselben Infrastruktur der Tsinghua-Universität aus Netzwerkaufklärungsaktivitäten durchgeführt werden, die sich gegen zahlreiche geopolitische Organisationen richten, darunter die Regierung des Bundesstaates Alaska, das Ministerium für natürliche Ressourcen Alaskas, das Büro der Vereinten Nationen in Nairobi und die kenianische Hafenbehörde. Darüber hinaus stellten wir fest, dass der deutsche Automobilkonzern Daimler AG einen Tag nach der Reduzierung seiner Gewinnprognose für das Gesamtjahr mit der Begründung der wachsenden Handelsspannungen zwischen den USA und China gezielt gescannt wurde. In mehreren Fällen fanden diese Aktivitäten während der Phase des chinesischen Dialogs über wirtschaftliche Zusammenarbeit mit diesen Ländern oder Organisationen statt.

We assess with medium confidence that the network reconnaissance activities we uncovered were conducted by Chinese state-sponsored actors in support of China’s economic development goals.

Hintergrund

Die Volksrepublik China beansprucht die Souveränität über Tibet und betrachtet alle tibetischen Unabhängigkeitsbewegungen als separatistische Bedrohung. Während die VR China viele Formen der Nötigung gegenüber der tibetischen Gemeinschaft anwendet, ist Cyberspionage gegen tibetische Ziele zu einem häufig eingesetzten Mittel geworden, insbesondere in Zeiten erhöhter Spannungen. Der erste bekannte Vorfall chinesischer Cyberspionage gegen Tibet, genannt GhostNet, ereignete sich im Jahr 2008. Dies war Teil eines umfassenderen Versuchs, ausländische Ziele von nationalem Interesse zu überwachen. Seitdem wurden zahlreiche Cyberspionagekampagnen gegen Tibeter dokumentiert, unter anderem im jüngsten RedAlpha-Bericht von Recorded Future.

Die Tsinghua-Universität befindet sich im Bezirk Haidian in Peking. Sie wird als „Chinas MIT“ bezeichnet und ist eine der führenden technischen Forschungsuniversitäten Chinas. Chinesische Universitäten werden oft sowohl direkt als auch indirekt mit vom chinesischen Staat geförderten Cyber-Kapazitäten in Verbindung gebracht. Im Jahr 2015 wurde die APT17-Infrastruktur mit einem Professor an der Southeast University in China verbunden und 2017 ging die Volksbefreiungsarmee (PLA) eine Partnerschaft mit der Jiaotong-Universität Xi‘An ein, um ein Cyber-Miliz-Programm zu erstellen. Die Tsinghua-Universität selbst ist eine staatliche Einrichtung und zählt zu den weltweit führenden Forschungs- und Ingenieurschulen. Die offensiven Cyber-Fähigkeiten der Studenten sind vor allem durch Blue-Lotus bekannt geworden, ein Sicherheitsforschungsteam, das aus Personen besteht, die mit der Universität Tsinghua verbunden sind. Beim Capture-the-Flag-Wettbewerb 2016 der DEF CON belegte das Team den zweiten Platz .

Forschungsabteilungen der Tsinghua-Universität haben auch Verbindungen zu staatlichen Organisationen, die in der Vergangenheit US-Technologie gestohlen haben. Das Büro für wissenschaftliche Forschung und Entwicklung der Universität Tsinghua traf sich im Mai 2018 mit der China CITIC Group zum Zweck der Sitzungsaktivitäten der Kommunistischen Partei, bei der sie die strategische Zusammenarbeit zwischen Unternehmen und Forschungsinstituten zur Förderung der Entwicklung des Landes besprachen. Im Sonderausschuss für die nationale Sicherheit der USA und militärisch-kommerzielle Belange der VR China aus dem Jahr 1999 (dem sogenannten „Cox-Bericht“) wurde CITIC mit verdeckten Operationen der PLA und dem Diebstahl sensibler US-Technologie in Verbindung gebracht. Der Cox-Bericht erwähnte auch einen Versuch von CITIC im Jahr 1990, im Auftrag der PLA einen US-amerikanischen Hersteller von Flugzeugteilen zu übernehmen, um Zugang zu US-exportkontrollierter Luft- und Raumfahrttechnologie zu erhalten. Darüber hinaus war der ehemalige Vorsitzende von CITIC, Wang Zhen, an der Anklageerhebung gegen Poly Technologies aus dem Jahr 1996 beteiligt, die auf den Versuch des Unternehmens zurückging, 2.000 chinesische Sturmgewehre des Typs AK-47 in die Vereinigten Staaten zu schmuggeln.

Das Institute of Information Systems and Engineering der Tsinghua University ist außerdem offen mit den nationalen Programmen 863 und 973 Chinas verbunden. Das Programm 863, auch bekannt als staatlicher High-Tech-Entwicklungsplan, konzentriert sich auf die Entwicklung nationaler Kapazitäten in Chinas wichtigsten Technologiebranchen, während das Programm 973, das 1997 ins Leben gerufen wurde, sich auf die Entwicklung der Basistechnologien konzentriert, die zur Erzielung der technologischen Überlegenheit in den Schlüsselbranchen erforderlich sind. Beide Programme hatten zur Folge, dass es für China einfacher wurde, geistiges Eigentum zu stehlen, um die Programmziele zu erreichen.

In den vergangenen zehn Jahren wurden mehrere vom chinesischen Staat gesponserte Cyber-Bedrohungsakteure identifiziert, die groß angelegte Cyber-Spionage betrieben und damit direkt die politischen Vorgaben Chinas widerspiegelten, sich in strategischen Schlüsselindustrien einen wissenschaftlichen, technischen und wirtschaftlichen Vorteil zu verschaffen. Diese Aktivität konnte zuletzt bei Operationen von APT10 beobachtet werden, die auf Managed-IT-Serviceprovider abzielten, und bei APT17, das 2017 massive Supply-Chain-Angriffe auf das beliebte Softwareprodukt CCleaner durchführte.

Aufgezeichneter zukünftiger Zeitplan der IP-Aktivitäten von Tsinghua im Zusammenhang mit den tibetischen Protesten.

Bedrohungsanalyse

Recorded Future entdeckte die Präsenz der „ext4“-Hintertür im Zuge unserer laufenden Recherchen zu Angriffen auf die tibetische Gemeinschaft. Diese Hintertür wurde für die Ausführung auf einem Linux-Webserver mit CentOS konfiguriert und heimlich so konzipiert, dass sie in eine Systemdatei eingebettet werden kann. Die Hintertür war größtenteils inaktiv, außer während eines dreiminütigen Zeitfensters pro Stunde, in dem sie aktiviert wurde und eingehende Verbindungen über TCP-Port 443 akzeptierte.

In total, Recorded Future’s unique coverage enabled us to observe 23 attempted connections to the same compromised CentOS server between May and June 2018. Every attempt originated from the same IP, 166.111.8[.]246, which resolved to the China Education and Research Network Center. WHOIS records reveal that the IP sits within a large /16 CIDR range registered to an address at “Tsinghua University.”

Wie im PCAP unten vermerkt, wurde in jedem Paket, das versuchte, von der Tsinghua-IP aus eine Verbindung zum tibetischen Netzwerk herzustellen, eine einzigartige Auswahl von Optionen im TCP-Header beobachtet, die auf die maximal mögliche Segmentgröße von 60 Byte eingestellt war.

PCAP des Verbindungsversuchs von der Tsinghua-IP zum kompromittierten tibetischen CentOS-Server.

Der „ext4“-Code scheint eindeutig zu sein, da es im Internet keine auffälligen Hinweise auf Code- oder Namensähnlichkeiten gibt. Abgesehen von unserer Meldung wurden bis zum 3. August 2018 in führenden Multi-Scanner-Repositories keine Uploads einer Hintertür beobachtet, die den Hauptmerkmalen von „ext4“ ähnelt. Eine Erkennungsrate von 0/58 in VirusTotal bestätigte, dass es sich bei der von uns entdeckten „ext4“-Probe um eine neue und einzigartige Hintertür handelte, die auf die tibetische Gemeinschaft abzielte.

Eine detaillierte Analyse der Binärdatei „ext4“ finden Sie im Abschnitt „Technische Analyse“ dieses Berichts.

Tsinghua University IP 166.111.8[.]246

Diese IP wurde erstmals am 23. März 2018 in Recorded Future beobachtet und mehreren IP-Anreicherungsquellen zufolge dem Chinese Education and Research Network Center (CERNET) zugeordnet. CERNET ist eines der sechs wichtigsten Backbone-Netzwerke Chinas und eine Sammelorganisation, die einen großen Teil des adressierbaren IP-Raums bedient, der chinesischen Hochschulen und Forschungsinstituten vorbehalten ist. Wie bereits erwähnt, bestätigen WHOIS-Aufzeichnungen, dass die IP in einem Bereich liegt, der bei der „Tsinghua University“ registriert ist.

Available port scan data revealed that the IP is currently configured with several actively running services, including PPTP (TCP port 1723), MySQL (3306), and MAMP (8888), as well as the more common OpenSSH (22), HTTP (80, 8080, 8008), SSL (443, 8443, 9443), and VPN IKE (500) services, among others. The HTTP ports appeared to be configured as NGINX web servers, likely as reverse proxies or load balancers, given the nature of the activity we have observed from this IP. The large number of open ports and associated services indicate that the Tsinghua IP may be an internet gateway or VPN endpoint.

Recorded Future Intelligence Card™ for Tsinghua IP 166.111.8[.]246.

Aufgezeichnete zukünftige Anreicherungen der IP zeigen, dass sie in der Vergangenheit die Quelle von Scans, Brute-Force-Angriffen und aktiven Ausnutzungsversuchen war. Es hat mehrere Risikoregeln ausgelöst, darunter eine Markierung durch das Taichung City Education Bureau in Taiwan, das aus China stammende bösartige Cyberindikatoren verfolgt, und es erscheint auf einer schwarzen Liste von AlienVault. Die Metadatenanalyse der IP weist außerdem darauf hin, dass es sich wahrscheinlich um ein Gateway, NAT oder Proxy handelt und dass sich der wahre Ursprungscomputer für diese Aktivität hinter dieser IP befindet.

Es wurde auch beobachtet, dass die gleiche IP-Adresse eine groß angelegte Netzwerkauskundschaftung von Organisationen durchführte, die zu diesem Zeitpunkt in wichtige Handelsgespräche mit chinesischen Staatsunternehmen verwickelt waren. Wir gehen davon aus, dass diese Aufklärungsaktivitäten kein Zufall waren, da sie im Großen und Ganzen mit den strategischen und wirtschaftlichen Interessen Chinas übereinstimmen.

„Chance Alaska“

Zwischen dem 6. April und dem 24. Juni 2018 beobachteten wir über eine Million IP-Verbindungen zwischen der Tsinghua-IP und mehreren Netzwerken in Alaska, darunter:

• Die Alaska Communications Systems Group
• Ministerium für natürliche Ressourcen Alaskas
• Alaska Strom- und Telefongesellschaft
• Regierung des Staates Alaska
• TelAlaska

The vast number of connections between the Tsinghua IP and the above organizations relate to the bulk scanning of ports 22, 53, 80, 139, 443, 769, and 2816 on the Alaskan networks and were likely conducted to ascertain vulnerabilities and gain illegitimate access. The scanning activity was conducted in a systematic manner with entire IP ranges dedicated to the organizations probed for the above ports.

Diese Angriffe auf die Regierung des Bundesstaates Alaska folgten auf Alaskas große Handelsmission nach China, die den Spitznamen „Opportunity Alaska“ trug. Diese Handelsmission fand Ende Mai statt und wurde von Bill Walker, dem Gouverneur von Alaska, geleitet. Eine der wichtigsten Diskussionen während dieser Gespräche drehte sich um die Aussicht auf eine Gaspipeline zwischen Alaska und China. Trotz der Befürchtungen eines Handelskriegs zwischen China und den USA erklärte das Büro von Gouverneur Walker, dass die Handelsmission „einige der besten Dinge repräsentiere, die Alaska zu bieten hat, und ... die große Bandbreite unserer gemeinsamen Interessen mit unserem größten Handelspartner [hervorhebe]“. Opportunity Alaska bestand aus Delegierten alaskischer Unternehmen aus den Bereichen Fischerei, Tourismus, Architektur und Investment und machte Halt in Peking, Shanghai und Chengdu.

Von Tsinghua IP durchgeführte Netzwerkuntersuchungen zielten auf Institutionen in Alaska ab und fielen mit der Handelsdelegation Alaskas nach China im Mai 2018 zusammen.

Recorded Future beobachtete die Scan-Aktivitäten der Netzwerke in Alaska erstmals Ende März, nur wenige Wochen nachdem Gouverneur Walker eine Handelsdelegation nach China angekündigt hatte. Die Aktivitäten nahmen einige Tage vor der Ankunft der Delegation am 20. Mai 2018 zu und ließen nach, als die Delegation eintraf. Bis zum 28. Mai, als die Delegation ihre Aktivitäten abschloss, wurden die Netzwerke in Alaska nur auf niedrigem Niveau untersucht. Mit der Abreise der Delegierten aus China wurden die Untersuchungen dann jedoch beträchtlich intensiviert. Der Anstieg der Scan-Aktivität am Ende von Handelsgesprächen zu verwandten Themen deutet darauf hin, dass es sich dabei wahrscheinlich um einen Versuch handelte, Einblick in die Sichtweise Alaskas auf die Reise und einen strategischen Vorteil für die Verhandlungen nach dem Besuch zu gewinnen.

Zwischen dem 20. und 24. Juni kam es zu einem weiteren Anstieg des Interesses an den Netzwerken des Staates Alaska und des Alaska Department of Natural Resources. Dies geschah möglicherweise als Reaktion auf die Ankündigung von Gouverneur Walker vom 19. Juni, er wolle Washington D.C. besuchen, um dort mit US-amerikanischen und chinesischen Politikern zusammenzutreffen und seine Bedenken hinsichtlich des wachsenden Handelsstreits zwischen den beiden Ländern zu äußern.

Die „Belt and Road Initiative“ und Chinas wirtschaftliche Ziele

Während unserer Untersuchungen beobachteten wir auch, wie die Tsinghua-IP-Ports scannte und die Netzwerke von Regierungsbehörden und kommerziellen Unternehmen in der Mongolei, in Kenia und Brasilien untersuchte. Jedes dieser Länder ist im Rahmen der Belt and Road Initiative Chinas ein wichtiges Investitionsziel.

Chinas Belt and Road Initiative (BRI) ist eines der ehrgeizigsten Programme von Präsident Xi Jinping. Das Projekt soll Chinas transformativen geopolitischen Einfluss auf die ganze Welt ausdehnen; Ausmaß und Umfang sind beispiellos. Peking hat Investitionen von vier Billionen Dollar in Infrastruktur- und Entwicklungsprojekte in 65 Ländern zugesagt. Diese betreffen 70 Prozent der Weltbevölkerung und 75 Prozent der weltweiten Energiereserven. Das Projekt zielt darauf ab, die wichtigsten Wirtschaftszentren Eurasiens über Land und Meer miteinander zu verbinden. Viele dieser Zentren lagen bereits vor zweitausend Jahren an der historischen Seidenstraße.

Laut The Diplomat „zielt die BRI darauf ab, Chinas westliche Peripherie zu stabilisieren, seine Wirtschaft neu anzukurbeln, nicht-westliche internationale Wirtschaftsinstitutionen voranzutreiben, in anderen Ländern an Einfluss zu gewinnen und Handelslieferanten/-routen zu diversifizieren und gleichzeitig die Hinwendung der USA zu Asien zu umgehen.“

Chinas „Gürtel und Straße“-Initiative. Quelle: Mercator Institute for China Studies, merics.org

Ziel der BRI ist es zudem, den geopolitischen und wirtschaftlichen Einfluss Chinas in Afrika weiter zu stärken und dabei von den erheblichen Infrastrukturinvestitionen zu profitieren, die auf dem gesamten Kontinent getätigt werden. Insbesondere Kenia hat aufgrund seines strategischen geografischen Vorteils in Chinas Maritime Silk Road Initiative (MSRI) – der seegestützten Komponente der chinesischen BRI-Initiative – erhöhte Aufmerksamkeit auf sich gezogen.

Kenia kündigte Anfang des Jahres an, dass es im Rahmen der BRI Lobbyarbeit für regionale Projekte betreiben werde. China hat bereits eine 480 Kilometer lange Eisenbahnstrecke zwischen der kenianischen Hafenstadt Mombasa und der Hauptstadt Nairobi finanziert. Später soll die Bahnstrecke auch auf die Nachbarländer Uganda, Ruanda und Burundi ausgedehnt werden . Im Mai 2018 kündigte Kenia jedoch an, dass es ein mit den Staaten der Ostafrikanischen Gemeinschaft (EAC) diskutiertes Freihandelsabkommen mit China nicht unterzeichnen werde , was zu Spannungen zwischen Peking und Nairobi führte.

In early June 2018, we observed the Tsinghua IP address aggressively scanning ports 22, 53, 80, 389, and 443 of various Kenyan internet-hosting providers and telecommunications companies, as well as ranges dedicated to the Kenya Ports Authority, a state corporation responsible for the maintenance and operation of all of Kenya’s seaports. Recorded Future also identified network reconnaissance activities directed at the United Nations Office in Nairobi, Kenya’s Strathmore University, and a broader national education network.

Das folgende Diagramm zeigt einen deutlichen Anstieg der Netzwerkaufklärungsaktivitäten gegen kenianische Organisationen vom Tsinghua-IP aus. Dieser sprunghafte Anstieg erfolgte lediglich zwei Wochen, nachdem Kenia seine Absicht bekannt gegeben hatte, das Freihandelsabkommen zwischen China und der EAC nicht zu unterstützen.

Von Tsinghua IP durchgeführte Netzwerkaufklärungsereignisse, die auf kenianische Institutionen abzielten, überlagert mit wichtigen wirtschaftlichen Entwicklungen zwischen China und Kenia, März 2018 bis Juni 2018.

Im April dieses Jahres fügte Präsident Xi Brasilien der Liste der Länder hinzu, die im Rahmen der BRI chinesische Infrastrukturinvestitionen erhalten. Die Finanzierung eines neuen Hafens im nordöstlichen Bundesstaat Maranhão im Wert von 520 Millionen US-Dollar wurde angekündigt. Dabei werden die umfangreichen chinesischen Investitionen in die Bildungs- und Energiesektoren eines anderen brasilianischen Bundesstaates, Amapá, im Jahr 2016 vorangetrieben.

Unsere Untersuchungen haben ergeben, dass es zwischen dem 2. April und dem 11. Juni 2018 wiederholt Versuche der Tsinghua-IP gab, eine Verbindung zum Ministério Público do Estado Do Amapá in Brasilien (Staatsministerium des Bundesstaates Amapá) herzustellen. Das geschah nur einen Monat, nachdem die in Peking ansässige China Communications Construction Co. mit den Bauarbeiten am Hafen von Maranhão begonnen hatte.

Außerdem beobachteten wir zwischen dem 6. und 12. April 2018 wiederholte Versuche, eine Verbindung zu Organisationsnetzwerken herzustellen, etwa zum National Data Center Building in der Mongolei und zur Mongolian University of Science and Technology. Auch in den BRI-Plänen Chinas spielt die Mongolei eine entscheidende Rolle. Der Landanteil der BRI, bekannt als Wirtschaftsgürtel entlang der Seidenstraße (Silk Road Economic Belt, SREB), sieht eine neue eurasische Landbrücke und nicht weniger als fünf neue Wirtschaftskorridore vor , darunter einen Korridor zwischen China, der Mongolei und Russland.

Wir gehen mit mittlerer Sicherheit davon aus, dass die von den Tsinghua-IP-Sondierungsnetzwerken in Kenia, Brasilien und der Mongolei beobachtete anhaltende Aufklärungsaktivität eng mit den wirtschaftlichen Entwicklungszielen der BRI übereinstimmt und zeigt, dass der Bedrohungsakteur, der diese IP verwendet, im Auftrag des chinesischen Staates Cyberspionage betreibt.

Aufgezeichnete zukünftige Zeitleiste der Tsinghua-IP-Aktivität in Korrelation mit Opportunity Alaska und wichtigen BRI-Ankündigungen.

Die Auswirkungen der wachsenden Handelsspannungen zwischen den USA und China

On June 20, 2018, German multinational automotive corporation Daimler AG was the first prominent company to cut its profit outlook due to the escalating trade tensions between the U.S. and China. The next day, on June 21, we observed network reconnaissance activity specifically targeting ports 139, 22, 443, and 53 on networks resolving to Daimler AG. The probes originated from the same Tsinghua University IP.

Tsinghua IP probing Daimler AG networks on ports 139, 22, 443, and 53 between June 20 to 24, 2018.

Interaktion mit dem in den USA verwalteten Anbieter von Hotelnetzwerklösungen

Eine Shodan-Abfrage auf der Tsinghua-IP gab eine HTTP 302-Antwort zurück, die eine „snap.safetynetaccess.com“ bereitstellte. Umleitungsbenachrichtigung. Safety NetAccess mit Sitz in Needham, Massachusetts, baut drahtlose Netzwerke für Hotels, Resorts und andere öffentliche Einrichtungen; zu seinen Kunden zählen unter anderem die Hotelketten Hilton, Marriott, Sonesta und Wyndham. Laut der Safety NetAccess-Website ist SNAP das „fortgeschrittene Back-End-Softwareprogramm“, das den Agenten von Safety NetAccess „direkten Zugriff auf sämtliche verwalteten Geräte an jedem Standort“ bietet. Auch wenn die Felder in der Umleitungsmitteilung möglicherweise unklar aussehen, entsprechen sie den Portalseitenparametern für Nomadix Internet Gateways – dem primären Gateway- und Routing-Ausrüstungsanbieter von Safety NetAccess.

Shodan query reveals Tsinghua IP 166.111.8[.]246 “subscribed” to a Safety NetAccess portal.

The HTTP header response (above) showed that the Cox Communications IP 98.180.88[.]145 was originally requested by the “subscriber” (SIP), the Tsinghua IP 166.111.8[.]246. Navigating to the Cox Communications IP redirects users to a Safety NetAccess guest internet portal at a Holiday Inn hotel based in Ocala, Florida.

Safety NetAccess-Portal-Anmeldung für ein Holiday Inn in Ocala, Florida.

Breaking down the URL in the “Location” field in the HTTP response gives us the MAC address of the Tsinghua device (00:13:5F:07:87:D9), and the IP address of the Nomadix device (68.105.161[.]74), shown as UIP in the URL. The UIP resolves to Cox Communications in Ocala, Florida, and open-source research indicates that the device hosting this UIP is an AG 3100 Nomadix rack-mounted internet gateway, supporting DNS and HTTP redirection using a magic IP. This UIP also appears to be running a vulnerable WindWeb server on port 443. Shodan results show failed FTP login attempts to the internet gateway, as well as Telnet events.

Auf Grundlage der wenigen uns zur Verfügung stehenden Daten gehen wir mit geringer Wahrscheinlichkeit davon aus, dass die IP von Tsinghua versucht hat, die Remote-Verwaltungszugriffskontrollen auszunutzen, die durch das SNAP-Portal von Safety NetAccess für das Holiday Inn-Hotel in Florida aktiviert wurden.

Ist die „ext4“-Hintertür mit der Tsinghua-IP verbunden?

Durch die Entdeckung der „ext4“-Hintertür auf einem tibetischen Gerät konnten wir die umfassendere Angriffsstrategie auf das Gerät über die IP der Tsinghua-Universität identifizieren. Keiner der Verbindungsversuche mit dem tibetischen Gerät von der Tsinghua-IP aus führte jedoch zur erfolgreichen Aktivierung der Hintertür. Somit bleibt unklar, ob die Bedrohungsakteure hinter den umfassenden Netzwerkaufklärungsaktivitäten auch für die „ext4“-Hintertür verantwortlich waren.

Somit bleiben uns zwei mögliche Szenarien, die die Beteiligung der „ext4“-Hintertür in einem tibetischen Netzwerk mit der Tsinghua-IP erklären:

• Die Tsinghua-IP wird von einem Bedrohungsakteur verwendet, um auf die „ext4“-Hintertür zuzugreifen, aber ein technischer Fehler oder ein Bedienerfehler führt zu einer Fehlkonfiguration der TCP-Verbindungspakete, die zur Herstellung der Kommunikation mit der Hintertür erforderlich sind.
• Die Tsinghua-IP wird in großem Umfang für die Netzwerkauskundschaftung und Cyberspionage gegen strategische Wirtschafts- und Staatsinteressen eingesetzt. Dabei werden nicht nur Länder ins Visier genommen, mit denen China im Rahmen der BRI interagiert, sondern auch Organisationen der „Fünf Gifte²“ wie das tibetische Netzwerk. Die „ext4“-Hintertür gehört daher wahrscheinlich einem anderen Bedrohungsakteur, der nicht an den Netzwerk-Scan-Aktivitäten gegen Organisationen beteiligt ist, die zuvor in diesem Bericht beschrieben wurden.

Technische Analyse

Die „ext4“-Hintertür

Schlüsselmerkmale der „ext4“-Backdoor.

„ext4“ ist eine neuartige Linux-Hintertür, die zum selben Zeitpunkt (Mai bis Juni 2018) im Netzwerk des Opfers vorhanden war, als die IP-Aufklärungsaktivität von Tsinghua beobachtet wurde. Insgesamt wurden in diesem Zeitraum von der Tsinghua-IP aus 23 Versuche unternommen, über TCP 443 eine Verbindung zum Opfergerät herzustellen.

Die Hintertür „ext4“ wurde beim Ausführen innerhalb einer legitimen System-„ Cron“-Datei auf einem kompromittierten CentOS-Webserver entdeckt, der mit der tibetischen Gemeinschaft verbunden ist. Eine Analyse der geänderten Systemdateien ergab, dass die Datei „0anacron“ „cron“ geändert wurde, um eine nicht standardmäßige Binärdatei namens „ext4“ auszuführen, die sich im Verzeichnis /usr/bin/ext4 auf dem angegriffenen Server befindet. Die Binärdatei wurde so konfiguriert, dass sie stündlich und – interessanterweise – als Hintergrundprozess ausgeführt wird. Dadurch wird die Anzeige jeglicher Ausgabe in der Standardausgabe des Linux-Terminals unterdrückt, sodass sie für den Administrator des Webservers weniger erkennbar ist.

Geändert etc/cron.hourly/0anacron Skript zum Einbinden der Backdoor-Funktion „ext4“.

Die Binärdatei „ext4“ war mit nur 9511 Bytes relativ klein und bestand aus einfachen Funktionen. Es wurde dynamisch mit der libpcap-Bibliothek verknüpft, die auf Unix-Systemen vorhanden ist, um das Erfassen von Paketen (PCAP- Dateien) zu ermöglichen, das normalerweise von „Netzwerk-Sniffer“ verwendet wird.

Es gab drei Hauptfunktionen, die den Betrieb der Hintertür steuerten: „main“, „process“ und „my_pcap_handler“. Alle diese Funktionen fließen zusammen, um die Hauptfunktionalität der Hintertür auszuführen.

Hauptfunktion

Die Hauptfunktion führte drei zentrale Aufgaben aus: die Datei „tmp/0baaf161db39“ zu entfernen, einen untergeordneten Prozess zu erstellen, der die Backdoor-Funktionalität ausführt, und einen Sleep-Timer von 180 Sekunden einzustellen. Der Vorgang wird beendet, wenn das Limit des Sleep-Timers erreicht ist.

Darüber hinaus überprüfte die Hauptfunktion auch die Befehlszeilenargumente, um zu bestimmen, welche Netzwerkschnittstelle im kompromittierten Netzwerk überwacht werden soll. Standardmäßig verwendet „ext4“ „eth0“.

Prozessfunktion

Der Hauptzweck der Prozessfunktion bestand darin, einen Handle zum Erfassen des Netzwerkverkehrs zu erstellen, was mithilfe der Libpcap-Funktion „pcap_open_live“ erfolgte.

Nachdem der Handle erstellt worden war, wurde eine weitere libpcap-Funktion, „pcap_loop“, ausgeführt, die alle an die in „pcap_open_live“ angegebene Schnittstelle gesendeten Pakete verarbeitete und sie an die Funktion „my_packet_handler“ schickte, um sie zu analysieren und Aktionen basierend auf dem Typ des gesendeten Pakets auszuführen.

Funktion „my_packet_handler“

Alle an eine angegebene Netzwerkschnittstelle gesendeten Pakete wurden von der Funktion „my_packet_handler“ empfangen. Der Handler analysiert dann die Ethernet-, IP- und TCP-Header^3, um eine Reihe von Prüfungen durchzuführen und zu bestätigen, dass es sich um ein Paket handelt, das er verarbeiten soll. Nach der Validierung dekodierte die Funktion die Nutzlast, bei der es sich normalerweise um einen Befehl handelte, der an eine Bash-Shell auf dem angegriffenen CentOS-Host übermittelt wurde.

Die folgenden Schritte demonstrieren die Analyse- und Validierungskriterien, die die Funktion verwendet hat, um sicherzustellen, dass sie die richtigen Pakete verarbeitet hat. Wenn die Funktion zu irgendeinem Zeitpunkt unerwartete Ergebnisse erhält, wird das Paket aus der Funktion gelöscht und das nächste verarbeitet.

• Überprüfen Sie den Ethernet-Header, um sicherzustellen, dass es sich um den Typ IP (Typ 2048) handelt.
• Die Länge des IP-Headers wird aus dem IP-Header analysiert.
• Analysieren Sie den IP-Header, um sicherzustellen, dass es sich bei dem Protokoll um TCP (Typ 6) handelt.
• Analysieren Sie den TCP-Header, um sicherzustellen, dass der Zielport 443 ist.
• Suchen Sie den Datenoffset oder den Beginn der Nutzlast.
• Überprüfen Sie, ob die TCP-Flags 322 betragen. Dies bedeutet, dass die folgenden Flags gesetzt sind: NS (Nonce Sum), ECE (ECN-Echo) und SYN.

Die Aufschlüsselung der Flags ist wichtig, da geprüft wird, ob SYN und ECE sowie das NS-Flag gesetzt sind. Das NS-Flag dient dem Schutz vor versehentlichem oder böswilligem Verbergen markierter Pakete vor dem TCP-Absender.

Das ECE-Flag zeigt an, ob der TCP-Peer mit Explicit Congestion Notification (ECN) kompatibel ist. ECN ist eine optionale Erweiterung von TCP, die verhindert, dass Pakete aufgrund von Überlastung verloren gehen. Während die Verwendung von ECN in größeren Unternehmen mit ECN-fähigen Routern normal sein kann, scheint die Verwendung des NS-Bits experimentell zu sein und wird in keiner TCP-Implementierung offiziell verwendet.

Wenn ein Paket alle Kriterien erfüllt, ruft die Funktion die Länge der Nutzlast ab und prüft, ob sie zwischen fünf und 1024 Bytes liegt. Anschließend weist es Speicher zu und speichert die Nutzlast im Speicher.

Die Nutzlast ist XOR-codiert und das erste Byte der Nutzlast ist der XOR-Schlüssel. Die Funktion verwendet das erste Byte der Nutzlast, um die nächsten fünf Bytes zu dekodieren und zu prüfen, ob sie der Zeichenfolge „anti:“ entsprechen.

Wenn die dekodierten Bytes „anti:“ entsprechen, wird der Rest der Nutzlast dekodiert und als letztes Argument übergeben, um mit dem Execl-Aufruf einen Bash-Befehl auszuführen.

Ausblick

China nutzt weiterhin Cyberoperationen zur Überwachung und Verfolgung von Bedrohungen der inneren Stabilität, die treffend als die „Fünf Gifte“ zusammengefasst werden. Durch die Konzentration auf inländische Bedrohungen sind Sicherheitsforscher in der Lage, neue Kampagnen und Tools zu identifizieren, die aggressiv gegen verfolgte Gemeinschaften eingesetzt werden. „ext4“ ist eine hochentwickelte, leichtgewichtige Linux-Hintertür, die es Bedrohungsakteuren ermöglicht, auf das angegriffene Gerät zuzugreifen und weitere bösartige Aktivitäten durchzuführen. Es handelt sich zudem um ein Beispiel für ein Mittel, das vermutlich von chinesischen staatlichen Akteuren eingesetzt wird, um die tibetische Gemeinschaft ins Visier zu nehmen.

Darüber hinaus unterstreicht die weit verbreitete Verwendung von CentOS-Servern, von denen viele ungepatcht und in Produktionssystemen verwendet werden, die Breite der potenziellen Angriffsfläche.

Dank seiner Belt and Road Initiative und seiner langfristigen Investitionen in die afrikanische Infrastruktur konnte das Land in den Zielländern dieser Politik enormen Einfluss ausüben . Wir gehen mit mittlerer Sicherheit davon aus, dass die umfassenden Netzwerkaufklärungsaktivitäten, die von der Infrastruktur der Tsinghua-Universität ausgehen und auf wirtschaftliche Interessen in Kenia, der Mongolei und Brasilien abzielen, staatlich gesteuert werden.

China hat zur Unterstützung seiner nationalen Wirtschaftsinteressen wiederholt Cyberspionage betrieben. Im November 2017 erhob das US-Justizministerium Anklage gegen drei chinesische Hacker, die der Wirtschaftsspionage im Internet für schuldig befunden wurden. Darüber hinaus wies das US-amerikanische National Counterintelligence and Security Center in seinem jüngsten Bericht über ausländische Wirtschaftsspionage im Cyberspace darauf hin, dass die chinesischen Bedrohungsakteure APT10, KeyBoy und Temp.Periscope umfangreiche Cyberspionage zur Verfolgung strategischer nationaler und wirtschaftlicher Ziele betrieben hätten.

Abgesehen von der Entdeckung der „ext4“-Hintertür, die auf die tibetische Gemeinschaft abzielte, konnten wir in keiner der in diesem Bericht dokumentierten Organisationen das Vorhandensein von Schadsoftware feststellen, da der Großteil unserer Analyse auf Metadaten von Drittanbietern basierte. Wir gehen jedoch mit mittlerer Sicherheit davon aus, dass das gezielte Scannen und Untersuchen von Netzwerken während des Zeitraums des bilateralen Handels und des strategischen Dialogs zwischen China und seinen Partnern in Alaska, Kenia, Brasilien und der Mongolei darauf hindeutet, dass die Aktivität von einem Bedrohungsakteur (oder mehreren Bedrohungsakteuren mit Zugriff auf denselben Tsinghua-Endpunkt) unter der Leitung des chinesischen Staates durchgeführt wird.

Empfehlungen zur Netzwerkverteidigung

Recorded Future empfiehlt Unternehmen die Durchführung der folgenden Maßnahmen zur Abwehr feindlicher Netzwerkauskundschaften und der möglichen Bereitstellung einer CentOS-Hintertür durch den in diesem Bericht beschriebenen chinesischen Bedrohungsakteur:

• Configure your intrusion detection systems (IDS) and intrusion prevention systems (IPS) to alert and block connection attempts from Tsinghua University IP 166.111.8[.]246.
• Führen Sie mithilfe der bereitgestellten Yara-Regel für die „ext4“-Hintertür Scans aller Linux-Hosts in Netzwerken durch, um das Vorhandensein der Hintertür zu prüfen.
• If applicable, ensure the “ext4” Yara rule is deployed to the endpoint protection appliance used in your organization. Scan Linux hosts for the presence of the “/usr/bin/ext4” and “/tmp/0baaf161db39” files.

Darüber hinaus empfehlen wir Organisationen, die folgenden allgemeinen Best-Practice-Richtlinien zur Informationssicherheit zu befolgen:

• Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand; insbesondere Betriebssysteme, Antivirensoftware und wichtige Systemdienstprogramme.
• Filtern Sie E-Mail-Korrespondenz und überprüfen Sie Anhänge auf Malware.
• Erstellen Sie regelmäßig Backups Ihres Systems und speichern Sie die Backups offline, am besten außerhalb des Standorts, sodass die Daten nicht über das Netzwerk abgerufen werden können.
• Überlegen Sie sich einen gut durchdachten Reaktions- und Kommunikationsplan für Vorfälle.
• Achten Sie auf eine strikte Abschottung unternehmensrelevanter Daten. Achten Sie insbesondere darauf, auf welche Daten jemand mit Zugriff auf ein Mitarbeiterkonto oder -gerät Zugriff hätte (beispielsweise durch Geräte- oder Kontoübernahme durch Phishing). Erwägen Sie ernsthaft die Einführung eines rollenbasierten Zugriffs, die Beschränkung des unternehmensweiten Datenzugriffs und die Einschränkung des Zugriffs auf vertrauliche Daten.
• Setzen Sie hostbasierte Kontrollen ein – eine der besten Abwehrmaßnahmen und Warnsignale zur Abwehr von Angriffen ist die Durchführung clientbasierter Host-Protokollierung und Angriffserkennungsfunktionen.
• Implementieren Sie grundlegende Bereitstellungen und Kontrollen zur Reaktion auf Vorfälle und zur Erkennung, wie Netzwerk-IDS, Netflow-Sammlung, Host-Protokollierung und Web-Proxy, neben der menschlichen Überwachung der Erkennungsquellen.
• Beachten Sie die Sicherheitsstandards Ihrer Partner oder Lieferkette. Die Fähigkeit, Sicherheitsstandards für Ökosystempartner zu überwachen und durchzusetzen, ist ein wichtiger Teil der Sicherheitslage jedes Unternehmens.

Eine vollständige Liste der zugehörigen Kompromissindikatorenfinden Sie im Anhang der PDF-Version dieser Analyse.