Hinweis zum Umfang: Recorded Future analysierte neue Malware, die auf die tibetische Gemeinschaft abzielt, was zu einer detaillierten Analyse der Malware und der damit verbundenen Infrastruktur führte. Zu den Quellen gehören die Plattform von Recorded Future, VirusTotal, ReversingLabs und Metadaten von Drittanbietern sowie gängige OSINT- und Netzwerkmetadatenanreicherungen wie DomainTools Iris und PassiveTotal. Diese Studie ist Teil einer Serie, die die Bandbreite der ausgeklügelten Techniken beleuchtet, die der chinesische Staat gegen wahrgenommene Bedrohungen im Inland einsetzt.

Executive Summary

Im Anschluss an unsere Recherchen, bei denen wir die chinesischen RedAlpha-Kampagnen aufgedeckt haben, die auf die tibetische Gemeinschaft abzielen, hat die Insikt Group von Recorded Future eine neuartige Linux-Hintertür namens „ext4“ identifiziert, die gegen dieselbe tibetische Opfergruppe eingesetzt wird. Durch die Analyse der Hintertür haben wir wiederholte Verbindungsversuche zum selben kompromittierten CentOS-Webserver aufgedeckt, die von einer Infrastruktur ausgingen, die bei der Tsinghua^1- Universität, einer chinesischen Elite-Universität, registriert ist.

Wir haben außerdem festgestellt, dass von derselben Infrastruktur der Tsinghua-Universität aus Netzwerkaufklärungsaktivitäten durchgeführt werden, die sich gegen zahlreiche geopolitische Organisationen richten, darunter die Regierung des Bundesstaates Alaska, das Ministerium für natürliche Ressourcen Alaskas, das Büro der Vereinten Nationen in Nairobi und die kenianische Hafenbehörde. Darüber hinaus stellten wir fest, dass der deutsche Automobilkonzern Daimler AG einen Tag nach der Reduzierung seiner Gewinnprognose für das Gesamtjahr mit der Begründung der wachsenden Handelsspannungen zwischen den USA und China gezielt gescannt wurde. In mehreren Fällen fanden diese Aktivitäten während der Phase des chinesischen Dialogs über wirtschaftliche Zusammenarbeit mit diesen Ländern oder Organisationen statt.

Wir gehen mit mittlerer Sicherheit davon aus, dass die von uns aufgedeckten Netzwerkaufklärungsaktivitäten von staatlich geförderten chinesischen Akteuren zur Unterstützung der wirtschaftlichen Entwicklungsziele Chinas durchgeführt wurden.

Wichtige Urteile

• Tsinghua IP 166.111.8[.]246 war an der Netzwerkauskundung beteiligt und zielte auf Organisationen in Alaska, Kenia, Brasilien und der Mongolei während Zeiten des Wirtschaftsdialogs oder der Publizität von Chinas Investitionen in ausländische Infrastrukturprojekte im Zusammenhang mit Chinas Vorzeigeprojekt „Belt and Road Initiative“ (BRI).
• Die Netzwerk-Aufklärungsaktivitäten gegen Organisationen in Alaska nahmen nach der Reise einer Handelsdelegation des Gouverneurs von Alaska nach China Ende Mai zu. Die Aufklärungsaktivitäten zielten auf Organisationen aus Branchen ab, die im Mittelpunkt der Handelsgespräche standen, etwa der Öl- und Gasindustrie.
• Der Angriff auf den deutschen Automobilkonzern Daimler AG erfolgte einen Tag, nachdem dieser angesichts der wachsenden Handelsspannungen zwischen den USA und China eine Gewinnwarnung herausgegeben hatte.
• Die geistige Eigentumsrechte von Tsinghua haben mindestens einen Versuch unternommen, sich beim Hochgeschwindigkeits-Internetportal eines Hotels in den USA anzumelden. Wir gehen davon aus, dass dies mit geringer Wahrscheinlichkeit auf die Absicht hindeuten könnte, in die Internet-Gateways von Nomadix im Hotel- und Gaststättengewerbe einzudringen, auf denen anfällige WindWeb-Server laufen.
• Die Tsinghua-IP versuchte wiederholt, eine Verbindung mit einem tibetischen Netzwerk herzustellen, das mit einer hochentwickelten Hintertür namens „ext4“ kompromittiert war.
• „ext4“ ließ eingehende TCP 443-Verbindungen zum angegriffenen Netzwerk nur während eines 180-Sekunden-Fensters pro Stunde zu, wobei für eine erfolgreiche Verbindung Pakete eine einzigartige Kombination aus TCP-Header-Optionen erforderten. Bei über 20 beobachteten Versuchen übermittelte die Tsinghua-IP nicht die richtigen TCP-Optionen zur Aktivierung der Hintertür. Dies schlug vor:
• Die Bedrohungsakteure, die sich von der Tsinghua-IP aus verbanden, waren über die korrekte Verbindungssequenz für die „ext4“-Backdoor nicht gut informiert und machten Fehler.
• Der Angriff auf das tibetische Netzwerk hat nichts mit der Präsenz der „ext4“-Hintertür zu tun und die Untersuchung des Netzwerks erfolgte im Rahmen der umfassenderen geopolitischen und wirtschaftlichen Netzwerkaufklärungsaktivitäten des Tsinghua IP.

Hintergrund

Die Volksrepublik China beansprucht die Souveränität über Tibet und betrachtet alle tibetischen Unabhängigkeitsbewegungen als separatistische Bedrohung. Während die VR China viele Formen des Drucks gegen die tibetische Gemeinschaft ausübt, ist Cyberspionage gegen tibetische Ziele zu einem häufig eingesetzten Instrument geworden, insbesondere in Zeiten erhöhter Spannungen. Der erste bekannte Vorfall chinesischer Cyberspionage gegen Tibet, genannt GhostNet, ereignete sich im Jahr 2008. Dies war Teil eines umfassenderen Versuchs, ausländische Ziele von nationalem Interesse zu überwachen. Seitdem sind zahlreiche Cyberspionage-Kampagnen gegen Tibeter dokumentiert, unter anderem im jüngsten RedAlpha-Bericht von Recorded Future.

Die Tsinghua-Universität befindet sich im Haidian-Bezirk in Peking. Sie wird als "Chinas MIT" bezeichnet und ist eine der führenden technischen Forschungsuniversitäten Chinas. Chinesische Universitäten wurden oft direkt und indirekt mit staatlich geförderten chinesischen Cyber-Fähigkeiten in Verbindung gebracht. Im Jahr 2015 wurde die Infrastruktur von APT17 mit einem Professor an der Südost-Universität Chinas verbunden, und im Jahr 2017 ging die Volksbefreiungsarmee (PLA) eine Partnerschaft mit der Xi'An Jiaotong Universität ein , um ein Programm für Cyber-Milizen zu entwickeln. Die Tsinghua-Universität ist selbst eine staatliche Institution und gehört zu den weltweit führenden Forschungs - und Ingenieurschulen. Die offensiven Cyber-Fähigkeiten der Studenten sind vor allem durch Blue-Lotus bekannt, ein Sicherheitsforschungsteam, das sich aus Personen zusammensetzt, die mit der Tsinghua-Universität verbunden sind. Das Team belegte 2016 den zweiten Platz beim Capture the Flag-Wettbewerb der DEF CON.

Forschungszweige der Tsinghua-Universität haben auch Verbindungen zu staatlichen Organisationen, die in der Vergangenheit US-Technologie gestohlen haben. Das Büro für wissenschaftliche Forschung und Entwicklung der Tsinghua-Universität traf sich im Mai 2018 mit der China CITIC Group für die Aktivitäten des Treffens der Kommunistischen Partei, bei dem sie die strategische Zusammenarbeit zwischen Unternehmen und Forschungsinstituten erörterten, um der Entwicklung des Landes zu dienen. Im Sonderausschuss für die nationale Sicherheit der USA und militärische/kommerzielle Belange mit der VR China von 1999 (der sogenannte "Cox-Bericht") wurde CITIC mit verdeckten Operationen der Volksbefreiungsarmee und dem Diebstahl sensibler US-Technologie in Verbindung gebracht. Der Cox-Bericht zitiert auch einen Versuch von CITIC im Jahr 1990, im Namen der Volksbefreiungsarmee einen US-amerikanischen Flugzeugteilehersteller zu erwerben, um Zugang zu US-amerikanischer exportkontrollierter Luft- und Raumfahrttechnologie zu erhalten. Darüber hinaus war der ehemalige Vorsitzende von CITIC, Wang Zhen, 1996 an der Anklage gegen Poly Technologies beteiligt, die sich aus dem Versuch des Unternehmens ergab, 2.000 chinesische AK-47-Sturmgewehre in die Vereinigten Staaten zu schmuggeln.

Das Institut für Informationssysteme und Ingenieurwesen der Tsinghua University ist außerdem offen mit den nationalen Programmen 863 und 973 Chinas verbunden. Das Programm 863, auch bekannt als staatlicher Hightech-Entwicklungsplan, konzentriert sich auf die Entwicklung nationaler Fähigkeiten in Chinas wichtigsten Technologiebranchen, während sich das 1997 ins Leben gerufene Programm 973 auf die Entwicklung der Basistechnologien konzentriert, die zum Erreichen der technologischen Überlegenheit in den Schlüsselbranchen erforderlich sind. Beide Programme hatten zur Folge, dass es für China einfacher wurde, geistiges Eigentum zu stehlen, um die Programmziele zu erreichen.

In den vergangenen zehn Jahren wurden zahlreiche vom chinesischen Staat geförderte Cyber-Bedrohungsakteure identifiziert, die in großem Umfang Cyberspionage betrieben, was direkt den politischen Vorgaben Chinas entspricht, sich in strategischen Schlüsselindustrien wissenschaftliche, technische und wirtschaftliche Vorteile zu verschaffen. Diese Aktivität lässt sich zuletzt bei Operationen von APT10 beobachten, die sich gegen Managed-IT-Service-Provider richteten, und bei APT17, das 2017 massive Supply-Chain-Angriffe auf das beliebte Softwareprodukt CCleaner durchführte.

Aufgezeichneter zukünftiger Zeitplan der IP-Aktivitäten von Tsinghua im Zusammenhang mit den tibetischen Protesten.

Bedrohungsanalyse

Recorded Future entdeckte die Präsenz der „ext4“-Hintertür im Zuge unserer laufenden Recherchen zu Angriffen auf die tibetische Gemeinschaft. Diese Hintertür wurde für die Ausführung auf einem Linux-Webserver mit CentOS konfiguriert und heimlich so konzipiert, dass sie in eine Systemdatei eingebettet werden kann. Die Hintertür war größtenteils inaktiv, außer während eines dreiminütigen Zeitfensters pro Stunde, in dem sie aktiviert wurde und eingehende Verbindungen über TCP-Port 443 akzeptierte.

Insgesamt konnten wir dank der einzigartigen Abdeckung von Recorded Future zwischen Mai und Juni 2018 23 Verbindungsversuche mit demselben kompromittierten CentOS-Server beobachten. Jeder Versuch kam von der gleichen IP, 166.111.8[.]246, die an das China Education and Research Network Center weitergeleitet wurde. WHOIS-Einträge zeigen , dass die IP innerhalb eines großen /16 CIDR-Bereichs liegt und auf eine Adresse an der "Tsinghua University" registriert ist.

Wie im PCAP unten vermerkt, wurde in jedem Paket, das versuchte, von der Tsinghua-IP aus eine Verbindung zum tibetischen Netzwerk herzustellen, eine einzigartige Auswahl von Optionen im TCP-Header beobachtet, die auf die maximal mögliche Segmentgröße von 60 Byte eingestellt war.

PCAP des Verbindungsversuchs von der Tsinghua-IP zum kompromittierten tibetischen CentOS-Server.

Der „ext4“-Code scheint eindeutig zu sein, da es im Internet keine auffälligen Hinweise auf Code- oder Namensähnlichkeiten gibt. Abgesehen von unserer Meldung wurden bis zum 3. August 2018 in führenden Multi-Scanner-Repositories keine Uploads einer Hintertür beobachtet, die den Hauptmerkmalen von „ext4“ ähnelt. Eine Erkennungsrate von 0/58 in VirusTotal bestätigte, dass es sich bei der von uns entdeckten „ext4“-Probe um eine neue und einzigartige Hintertür handelte, die auf die tibetische Gemeinschaft abzielte.

Eine detaillierte Analyse der Binärdatei „ext4“ finden Sie im Abschnitt „Technische Analyse“ dieses Berichts.

Universität Tsinghua IP 166.111.8[.]246

Diese IP wurde erstmals am 23. März 2018 in Recorded Future beobachtet und an das Chinese Education and Research Network Center (CERNET) weitergeleitet, wie aus mehreren IP-Anreicherungsquellen hervorgeht. CERNET ist eines der sechs größten Backbone-Netzwerke Chinas und eine Sammelorganisation, die einen großen Teil des adressierbaren IP-Raums bedient, der chinesischen akademischen und Forschungsinstituten vorbehalten ist. Wie bereits erwähnt, bestätigen WHOIS-Einträge, dass sich die IP innerhalb eines Bereichs befindet, der bei der "Tsinghua University" registriert ist.

Verfügbare Port-Scan-Daten zeigten, dass die IP derzeit mit mehreren aktiv laufenden Diensten konfiguriert ist, darunter PPTP (TCP-Port 1723), MySQL (3306) und MAMP (8888) sowie die gängigeren Dienste OpenSSH (22), HTTP (80, 8080, 8008), SSL (443, 8443, 9443) und VPN IKE (500). Die HTTP-Ports schienen als NGINX-Webserver konfiguriert zu sein, wahrscheinlich als Reverse-Proxys oder Load Balancer, angesichts der Art der Aktivität, die wir von dieser IP beobachtet haben. Die große Anzahl offener Ports und zugehöriger Dienste deutet darauf hin, dass es sich bei der Tsinghua-IP möglicherweise um ein Internet-Gateway oder einen VPN-Endpunkt handelt.

Aufgezeichnete Future Intelligence Card ™ für Tsinghua IP 166.111.8[.]246.

Recorded Future Anreicherungen des geistigen Eigentums zeigen, dass es in der Vergangenheit die Quelle von Scans, Brute-Force-Angriffen und aktiven Ausnutzungsversuchen war. Es hat mehrere Risikoregeln ausgelöst, darunter die Kennzeichnung durch das Taichung City Education Bureau in Taiwan, das aus China stammende bösartige Cyber-Indikatoren verfolgt und in einer schwarzen Liste von AlienVault erscheint. Die Metadatenanalyse der IP-Adresse deutet außerdem darauf hin, dass es sich wahrscheinlich um ein Gateway, eine NAT oder einen Proxy handelt und dass der wahre Ursprungscomputer für diese Aktivität hinter dieser IP-Adresse liegt.

Es wurde auch beobachtet, dass die gleiche IP-Adresse eine groß angelegte Netzwerkauskundschaftung von Organisationen durchführte, die zu diesem Zeitpunkt in wichtige Handelsgespräche mit chinesischen Staatsunternehmen verwickelt waren. Wir gehen davon aus, dass diese Aufklärungsaktivitäten kein Zufall waren, da sie im Großen und Ganzen mit den strategischen und wirtschaftlichen Interessen Chinas übereinstimmen.

„Chance Alaska“

Zwischen dem 6. April und dem 24. Juni 2018 beobachteten wir über eine Million IP-Verbindungen zwischen der Tsinghua-IP und mehreren Netzwerken in Alaska, darunter:

• Die Alaska Communications Systems Group
• Ministerium für natürliche Ressourcen Alaskas
• Alaska Strom- und Telefongesellschaft
• Regierung des Staates Alaska
• TelAlaska

Die große Zahl der Verbindungen zwischen der Tsinghua-IP und den oben genannten Organisationen beziehen sich auf Massenscans der Ports 22, 53, 80, 139, 443, 769 und 2816 in den Netzwerken in Alaska und wurden wahrscheinlich durchgeführt, um Schwachstellen festzustellen und sich unrechtmäßigen Zugriff zu verschaffen. Die Scan-Aktivität wurde systematisch durchgeführt, wobei ganze IP-Bereiche den Organisationen gewidmet wurden, die auf die oben genannten Ports untersucht wurden.

Diese Angriffe auf die Regierung des Bundesstaates Alaska folgten auf Alaskas große Handelsmission nach China, die als "Opportunity Alaska" bezeichnet wurde. Diese Handelsmission fand Ende Mai statt und wurde von Bill Walker, dem Gouverneur von Alaska, geleitet. Während dieser Gespräche drehte sich eine der öffentlichkeitswirksamsten Diskussionen um die Aussicht auf eine Gaspipeline zwischen Alaska und China. Trotz der Befürchtungen eines Handelskriegs zwischen China und den USA erklärte das Büro von Gouverneur Walker, dass die Handelsmission "einige der besten darstellt, die Alaska zu bieten hat, und ... [unterstreicht] das breite Spektrum unserer gemeinsamen Interessen mit unserem größten Handelspartner." Opportunity Alaska bestand aus Delegierten von Unternehmen aus Alaska aus den Bereichen Fischerei, Tourismus, Architektur und Investitionen und machte Halt in Peking, Shanghai und Chengdu.

Von Tsinghua IP durchgeführte Netzwerkuntersuchungen zielten auf Institutionen in Alaska ab und fielen mit der Handelsdelegation Alaskas nach China im Mai 2018 zusammen.

Recorded Future beobachtete die Scan-Aktivitäten der Netzwerke in Alaska erstmals Ende März, nur wenige Wochen nachdem Gouverneur Walker eine Handelsdelegation nach China angekündigt hatte. Die Aktivitäten nahmen einige Tage vor der Ankunft der Delegation am 20. Mai 2018 zu und ließen nach, als die Delegation eintraf. Bis zum 28. Mai, als die Delegation ihre Aktivitäten abschloss, wurden die Netzwerke in Alaska nur auf niedrigem Niveau untersucht. Mit der Abreise der Delegierten aus China wurden die Untersuchungen dann jedoch beträchtlich intensiviert. Der Anstieg der Scan-Aktivität am Ende von Handelsgesprächen zu verwandten Themen deutet darauf hin, dass es sich dabei wahrscheinlich um einen Versuch handelte, Einblick in die Sichtweise Alaskas auf die Reise und einen strategischen Vorteil für die Verhandlungen nach dem Besuch zu gewinnen.

Zwischen dem 20. und 24. Juni gab es einen weiteren Anstieg des Interesses an den Netzwerken des Bundesstaates Alaska und des Alaska Department of Natural Resources. Dies war möglicherweise eine Reaktion auf die Ankündigung von Gouverneur Walker am 19. Juni, dass er beabsichtige, Washington, D.C. zu besuchen, um US-amerikanische und chinesische Beamte zu treffen, um seine Besorgnis über den wachsenden Handelsstreit zwischen den beiden Nationen zum Ausdruck zu bringen.

Die „Belt and Road Initiative“ und Chinas wirtschaftliche Ziele

Während unserer Untersuchungen beobachteten wir auch, wie die Tsinghua-IP-Ports scannte und die Netzwerke von Regierungsbehörden und kommerziellen Unternehmen in der Mongolei, in Kenia und Brasilien untersuchte. Jedes dieser Länder ist im Rahmen der Belt and Road Initiative Chinas ein wichtiges Investitionsziel.

Chinas Belt and Road Initiative (BRI) ist eines der ehrgeizigsten Programme von Präsident Xi Jinping. Das Projekt soll Chinas transformativen geopolitischen Einfluss auf die ganze Welt ausweiten und ist in seinem Ausmaß und Umfang beispiellos. Peking hat Investitionen in Höhe von 4 Billionen US-Dollar in Infrastruktur- und Entwicklungsprojekte in 65 Ländern zugesagt, die 70 Prozent der Weltbevölkerung und 75 Prozent der weltweiten Energiereserven betreffen. Das Projekt soll die wichtigsten Wirtschaftszentren Eurasiens über Land und Meer miteinander verbinden. Viele dieser Zentren lagen vor zweitausend Jahren an der alten Seidenstraße.

Laut The Diplomat"zielt die BRI darauf ab, Chinas westliche Peripherien zu stabilisieren, seine Wirtschaft wieder anzukurbeln, nicht-westliche internationale Wirtschaftsinstitutionen voranzutreiben, Einfluss in anderen Ländern zu gewinnen und Handelslieferanten und -routen zu diversifizieren, während die US-Ausrichtung auf Asien umgangen wird."

Chinas Belt and Road Initiative. Quelle: Mercator Institute for China Studies, merics.org

Ziel der BRI ist es zudem, den geopolitischen und wirtschaftlichen Einfluss Chinas in Afrika weiter zu stärken und dabei von den erheblichen Infrastrukturinvestitionen zu profitieren, die auf dem gesamten Kontinent getätigt werden. Insbesondere Kenia hat aufgrund seines strategischen geografischen Vorteils in Chinas Maritime Silk Road Initiative (MSRI) – der seegestützten Komponente der chinesischen BRI-Initiative – erhöhte Aufmerksamkeit auf sich gezogen.

Anfang des Jahres kündigte Kenia an , sich für regionale Projekte im Rahmen der BRI einzusetzen. China hat bereits eine 480 Kilometer lange Eisenbahnstrecke zwischen der kenianischen Hafenstadt Mombasa und ihrer Hauptstadt Nairobi finanziert; Es wird erwartet, dass die Eisenbahn schließlich auch in die Nachbarländer Uganda, Ruanda und Burundi ausgeweitet wird. Im Mai 2018 kündigte Kenia jedoch an , kein Freihandelsabkommen mit China zu unterzeichnen, das mit den Staaten der Ostafrikanischen Gemeinschaft (EAC) diskutiert worden war, was die Spannungen zwischen Peking und Nairobi erhöhte.

Anfang Juni 2018 beobachteten wir, wie die IP-Adresse von Tsinghua die Ports 22, 53, 80, 389 und 443 verschiedener kenianischer Internet-Hosting-Anbieter und Telekommunikationsunternehmen aggressiv scannte, sowie Bereiche der Kenya Ports Authority, einem staatlichen Unternehmen, das für die Wartung und den Betrieb aller kenianischen Seehäfen verantwortlich ist. Recorded Future identifizierte außerdem Netzwerk-Aufklärungsaktivitäten, die sich gegen das Büro der Vereinten Nationen in Nairobi, die Strathmore University in Kenia und ein umfassenderes nationales Bildungsnetzwerk richteten.

Das folgende Diagramm zeigt einen deutlichen Anstieg der Netzwerkaufklärungsaktivitäten gegen kenianische Organisationen vom Tsinghua-IP aus. Dieser sprunghafte Anstieg erfolgte lediglich zwei Wochen, nachdem Kenia seine Absicht bekannt gegeben hatte, das Freihandelsabkommen zwischen China und der EAC nicht zu unterstützen.

Von Tsinghua IP durchgeführte Netzwerkaufklärungsereignisse, die auf kenianische Institutionen abzielten, überlagert mit wichtigen wirtschaftlichen Entwicklungen zwischen China und Kenia, März 2018 bis Juni 2018.

Im April dieses Jahres fügte Präsident Xi Brasilien der Liste der Länder hinzu, die im Rahmen der BRI chinesische Investitionen in die Infrastruktur erhalten. Die Finanzierung eines neuen Hafens im nordöstlichen Bundesstaat Maranhão im Wert von 520 Millionen US-Dollar wurde angekündigt. Dabei wird auf den umfangreichen chinesischen Investitionen in den Bildungs- und Energiesektor eines anderen brasilianischen Bundesstaates, Amapá, im Jahr 2016 aufgebaut.

Unsere Untersuchungen haben ergeben, dass es zwischen dem 2. April und dem 11. Juni 2018 wiederholt Versuche der Tsinghua-IP gab, eine Verbindung zum Ministério Público do Estado Do Amapá in Brasilien (Staatsministerium des Bundesstaates Amapá) herzustellen. Das geschah nur einen Monat, nachdem die in Peking ansässige China Communications Construction Co. mit den Bauarbeiten am Hafen von Maranhão begonnen hatte.

Wir beobachteten zwischen dem 6. und 12. April 2018 auch wiederholte Versuche, eine Verbindung zu Organisationsnetzwerken wie dem National Data Center Building in der Mongolei und der Mongolian University of Science and Technology herzustellen. Auch in Chinas BRI-Plänen spielt die Mongolei eine entscheidende Rolle. Die Landkomponente der BRI, bekannt als Seidenstraßen-Wirtschaftsgürtel (SREB), sieht eine neue eurasische Landbrücke und nicht weniger als fünf neue Wirtschaftskorridore vor, darunter einen Korridor zwischen China, der Mongolei und Russland.

Wir gehen mit mittlerer Sicherheit davon aus, dass die von den Tsinghua-IP-Sondierungsnetzwerken in Kenia, Brasilien und der Mongolei beobachtete anhaltende Aufklärungsaktivität eng mit den wirtschaftlichen Entwicklungszielen der BRI übereinstimmt und zeigt, dass der Bedrohungsakteur, der diese IP verwendet, im Auftrag des chinesischen Staates Cyberspionage betreibt.

Aufgezeichnete zukünftige Zeitleiste der Tsinghua-IP-Aktivität in Korrelation mit Opportunity Alaska und wichtigen BRI-Ankündigungen.

Die Auswirkungen der wachsenden Handelsspannungen zwischen den USA und China

Am 20. Juni 2018 reduzierte der deutsche multinationale Automobilkonzern Daimler AG als erstes namhaftes Unternehmen seine Gewinnprognose aufgrund der eskalierenden Handelsspannungen zwischen den USA und China. Am nächsten Tag, dem 21. Juni, beobachteten wir Netzwerkaufklärungsaktivitäten, die speziell auf die Ports 139, 22, 443 und 53 in Netzwerken abzielten, die zu Daimler AG aufgelöst wurden. Die Sonden stammten von derselben IP der Tsinghua-Universität.

Tsinghua IP untersucht zwischen dem 20. und 24. Juni 2018 die Netzwerke der Daimler AG auf den Ports 139, 22, 443 und 53.

Interaktion mit dem in den USA verwalteten Anbieter von Hotelnetzwerklösungen

Eine Shodan-Abfrage auf der Tsinghua-IP gab eine HTTP 302-Antwort zurück, die eine „snap.safetynetaccess.com“ bereitstellte. Umleitungsbenachrichtigung. Safety NetAccess mit Sitz in Needham, Massachusetts, baut drahtlose Netzwerke für Hotels, Resorts und andere öffentliche Einrichtungen; zu seinen Kunden zählen unter anderem die Hotelketten Hilton, Marriott, Sonesta und Wyndham. Laut der Safety NetAccess-Website handelt es sich bei SNAP um das „fortgeschrittene Back-End-Softwareprogramm“, das den Agenten von Safety NetAccess „direkten Zugriff auf alle verwalteten Geräte an jedem Standort“ bietet. Auch wenn die Felder in der Umleitungsmitteilung undurchsichtig erscheinen, entsprechen sie den Portalseitenparametern für Nomadix Internet Gateways – dem primären Gateway- und Routing-Geräteanbieter von Safety NetAccess.

Shodan-Abfrage zeigt, dass die Tsinghua-IP 166.111.8[.]246 bei einem Safety NetAccess-Portal „angemeldet“ ist.

Aus der HTTP-Header-Antwort (oben) ging hervor, dass die Cox Communications IP 98.180.88[.]145 ursprünglich vom „Teilnehmer“ (SIP), der Tsinghua IP 166.111.8[.]246, angefordert wurde. Wenn Sie zur IP-Adresse von Cox Communications navigieren, werden Sie zu einem Safety NetAccess-Internetportal für Gäste in einem Holiday Inn-Hotel in Ocala, Florida, weitergeleitet.

Safety NetAccess-Portal-Anmeldung für ein Holiday Inn in Ocala, Florida.

Durch Aufschlüsselung der URL im Feld „Standort“ in der HTTP-Antwort erhalten wir die MAC-Adresse des Tsinghua-Geräts (00:13:5F:07:87:D9) und die IP-Adresse des Nomadix-Geräts (68.105.161[.]74). wird in der URL als UIP angezeigt. Die UIP wird zu Cox Communications in Ocala, Florida, aufgelöst, und Open-Source-Recherchen deuten darauf hin, dass das Gerät, auf dem diese UIP gehostet wird, ein im Rack montiertes Internet-Gateway AG 3100 Nomadix ist, das DNS- und HTTP-Umleitung mithilfe einer magischen IP unterstützt. Dieses UIP scheint auch einen anfälligen WindWeb -Server auf Port 443 auszuführen. Shodan-Ergebnisse zeigen fehlgeschlagene FTP-Anmeldeversuche beim Internet-Gateway sowie Telnet-Ereignisse.

Auf Grundlage der wenigen uns zur Verfügung stehenden Daten gehen wir mit geringer Wahrscheinlichkeit davon aus, dass die IP von Tsinghua versucht hat, die Remote-Verwaltungszugriffskontrollen auszunutzen, die durch das SNAP-Portal von Safety NetAccess für das Holiday Inn-Hotel in Florida aktiviert wurden.

Ist die „ext4“-Hintertür mit der Tsinghua-IP verbunden?

Durch die Entdeckung der „ext4“-Hintertür auf einem tibetischen Gerät konnten wir die umfassendere Angriffsstrategie auf das Gerät über die IP der Tsinghua-Universität identifizieren. Keiner der Verbindungsversuche mit dem tibetischen Gerät von der Tsinghua-IP aus führte jedoch zur erfolgreichen Aktivierung der Hintertür. Somit bleibt unklar, ob die Bedrohungsakteure hinter den umfassenden Netzwerkaufklärungsaktivitäten auch für die „ext4“-Hintertür verantwortlich waren.

Somit bleiben uns zwei mögliche Szenarien, die die Beteiligung der „ext4“-Hintertür in einem tibetischen Netzwerk mit der Tsinghua-IP erklären:

• Die Tsinghua-IP wird von einem Bedrohungsakteur verwendet, um auf die „ext4“-Hintertür zuzugreifen, aber ein technischer Fehler oder ein Bedienerfehler führt zu einer Fehlkonfiguration der TCP-Verbindungspakete, die zur Herstellung der Kommunikation mit der Hintertür erforderlich sind.
• Die Tsinghua-IP wird in großem Umfang für die Netzwerkaufklärung und Cyberspionage gegen strategische Wirtschafts- und Staatsinteressen eingesetzt. Dabei werden nicht nur Länder ins Visier genommen, mit denen China im Rahmen der BRI zusammenarbeitet, sondern auch Organisationen der „Fünf Gifte ² “, wie etwa das tibetische Netzwerk. Die „ext4“-Hintertür gehört daher wahrscheinlich einem anderen Bedrohungsakteur, der nicht an den Netzwerkscans gegen Organisationen beteiligt ist, die zuvor in diesem Bericht beschrieben wurden.

Technische Analyse

Die „ext4“-Hintertür

Schlüsselmerkmale der „ext4“-Backdoor.

„ext4“ ist eine neuartige Linux-Hintertür, die zum selben Zeitpunkt (Mai bis Juni 2018) im Netzwerk des Opfers vorhanden war, als die IP-Aufklärungsaktivität von Tsinghua beobachtet wurde. Insgesamt wurden in diesem Zeitraum von der Tsinghua-IP aus 23 Versuche unternommen, über TCP 443 eine Verbindung zum Opfergerät herzustellen.

Die "ext4"-Hintertür wurde identifiziert, die in einer legitimen System-"cron"-Datei auf einem kompromittierten CentOS-Webserver ausgeführt wurde, der mit der tibetischen Gemeinschaft verbunden ist. Eine Analyse der geänderten Systemdateien ergab, dass die "cron"-Datei "0anacron" so modifiziert worden war, dass sie eine nicht standardmäßige Binärdatei namens "ext4" ausführte, die sich im Verzeichnis /usr/bin/ext4 auf dem kompromittierten Server befand. Die Binärdatei wurde so konfiguriert, dass sie stündlich und interessanterweise als Hintergrundprozess ausgeführt wird. Dies würde verhindern, dass jede Ausgabe in der Standardausgabe des Linux-Terminals angezeigt wird, wodurch sie für den Administrator des Webservers weniger erkennbar wird.

Geändert etc/cron.hourly/0anacron Skript zum Einbinden der Backdoor-Funktion „ext4“.

Die Binärdatei "ext4" war mit nur 9511 Bytes relativ klein und bestand aus einfachen Funktionen. Es wurde dynamisch mit der libpcap-Bibliothek verknüpft, die auf Unix-Systemen vorhanden ist, um das Erfassen von Paketen (pcap-Dateien ) zu ermöglichen, die typischerweise von "Netzwerk-Sniffern" verwendet werden.

Es gab drei Hauptfunktionen, die den Betrieb der Hintertür steuerten: „main“, „process“ und „my_pcap_handler“. Alle diese Funktionen fließen zusammen, um die Hauptfunktionalität der Hintertür auszuführen.

Hauptfunktion

Die Hauptfunktion führte drei zentrale Aufgaben aus: die Datei „tmp/0baaf161db39“ zu entfernen, einen untergeordneten Prozess zu erstellen, der die Backdoor-Funktionalität ausführt, und einen Sleep-Timer von 180 Sekunden einzustellen. Der Vorgang wird beendet, wenn das Limit des Sleep-Timers erreicht ist.

Darüber hinaus überprüfte die Hauptfunktion auch die Befehlszeilenargumente, um zu bestimmen, welche Netzwerkschnittstelle im kompromittierten Netzwerk überwacht werden soll. Standardmäßig verwendet „ext4“ „eth0“.

Prozessfunktion

Der Hauptzweck der Prozessfunktion bestand darin, einen Handle zum Erfassen des Netzwerkverkehrs zu erstellen, was mithilfe der Libpcap-Funktion „pcap_open_live“ erfolgte.

Nachdem der Handle erstellt worden war, wurde eine weitere libpcap-Funktion, „pcap_loop“, ausgeführt, die alle an die in „pcap_open_live“ angegebene Schnittstelle gesendeten Pakete verarbeitete und sie an die Funktion „my_packet_handler“ schickte, um sie zu analysieren und Aktionen basierend auf dem Typ des gesendeten Pakets auszuführen.

Funktion „my_packet_handler“

Alle an eine angegebene Netzwerkschnittstelle gesendeten Pakete wurden von der Funktion „my_packet_handler“ empfangen. Der Handler analysiert dann die Ethernet-, IP- und TCP-Header^3, um eine Reihe von Prüfungen durchzuführen und zu bestätigen, dass es sich um ein Paket handelt, das er verarbeiten soll. Nach der Validierung dekodierte die Funktion die Nutzlast, bei der es sich normalerweise um einen Befehl handelte, der an eine Bash-Shell auf dem angegriffenen CentOS-Host übermittelt wurde.

Die folgenden Schritte demonstrieren die Analyse- und Validierungskriterien, die die Funktion verwendet hat, um sicherzustellen, dass sie die richtigen Pakete verarbeitet hat. Wenn die Funktion zu irgendeinem Zeitpunkt unerwartete Ergebnisse erhält, wird das Paket aus der Funktion gelöscht und das nächste verarbeitet.

• Überprüfen Sie den Ethernet-Header, um sicherzustellen, dass es sich um den Typ IP (Typ 2048) handelt.
• Die Länge des IP-Headers wird aus dem IP-Header analysiert.
• Analysieren Sie den IP-Header, um sicherzustellen, dass es sich bei dem Protokoll um TCP (Typ 6) handelt.
• Analysieren Sie den TCP-Header, um sicherzustellen, dass der Zielport 443 ist.
• Suchen Sie den Datenoffset oder den Beginn der Nutzlast.
• Überprüfen Sie, ob die TCP-Flags 322 betragen. Dies bedeutet, dass die folgenden Flags gesetzt sind: NS (Nonce Sum), ECE (ECN-Echo) und SYN.

Die Aufschlüsselung der Flags ist wichtig, da geprüft wird, ob SYN und ECE sowie das NS-Flag gesetzt sind. Das NS-Flag dient dem Schutz vor versehentlichem oder böswilligem Verbergen markierter Pakete vor dem TCP-Absender.

Das ECE-Flag ist dafür verantwortlich, anzugeben, ob der TCP-Peer mit Explicit Congestion Notification (ECN) kompatibel ist. ECN ist eine optionale Erweiterung von TCP, die verhindert, dass Pakete aufgrund von Überlastung verworfen werden. Während die Verwendung von ECN in größeren Unternehmen mit ECN-fähigen Routern normal sein kann, scheint die Verwendung des NS-Bits experimentell zu sein und wird offiziell in keiner TCP-Implementierung verwendet.

Wenn ein Paket alle Kriterien erfüllt, ruft die Funktion die Länge der Nutzlast ab und prüft, ob sie zwischen fünf und 1024 Bytes liegt. Anschließend weist es Speicher zu und speichert die Nutzlast im Speicher.

Die Nutzlast ist XOR-codiert und das erste Byte der Nutzlast ist der XOR-Schlüssel. Die Funktion verwendet das erste Byte der Nutzlast, um die nächsten fünf Bytes zu dekodieren und zu prüfen, ob sie der Zeichenfolge „anti:“ entsprechen.

Wenn die dekodierten Bytes „anti:“ entsprechen, wird der Rest der Nutzlast dekodiert und als letztes Argument übergeben, um mit dem Execl-Aufruf einen Bash-Befehl auszuführen.

Ausblick

China nutzt weiterhin Cyberoperationen zur Überwachung und Verfolgung von Bedrohungen der inneren Stabilität, die treffend als die „Fünf Gifte“ zusammengefasst werden. Durch die Konzentration auf inländische Bedrohungen sind Sicherheitsforscher in der Lage, neue Kampagnen und Tools zu identifizieren, die aggressiv gegen verfolgte Gemeinschaften eingesetzt werden. „ext4“ ist eine hochentwickelte, leichtgewichtige Linux-Hintertür, die es Bedrohungsakteuren ermöglicht, auf das angegriffene Gerät zuzugreifen und weitere bösartige Aktivitäten durchzuführen. Es handelt sich zudem um ein Beispiel für ein Mittel, das vermutlich von chinesischen staatlichen Akteuren eingesetzt wird, um die tibetische Gemeinschaft ins Visier zu nehmen.

Darüber hinaus unterstreicht die weit verbreitete Verwendung von CentOS-Servern, von denen viele ungepatcht und in Produktionssystemen verwendet werden, die Breite der potenziellen Angriffsfläche.

Chinas "Belt and Road"-Initiative und seine langfristigen Investitionen in die afrikanische Infrastruktur haben es China ermöglicht, massiven Einfluss in den Ländern auszuüben, die von dieser Politik betroffen sind. Wir gehen mit mittlerer Sicherheit davon aus, dass die weit verbreiteten Netzwerkaufklärungsaktivitäten, die von der Infrastruktur der Tsinghua-Universität ausgehen und auf wirtschaftliche Interessen in Kenia, der Mongolei und Brasilien abzielen, staatlich gelenkt sind.

China hat zur Unterstützung seiner nationalen Wirtschaftsinteressen wiederholt Cyberspionage betrieben. Im November 2017 erhob das Justizministerium Anklage gegen drei chinesische Hacker, die der wirtschaftlichen Cyberspionage für schuldig befunden wurden. Darüber hinaus hob das US-amerikanische National Counterintelligence and Security Center in seinem jüngsten Bericht über ausländische Wirtschaftsspionage im Cyberspace hervor, dass die chinesischen Bedrohungsakteure APT10, KeyBoy und Temp.Periscope umfangreiche Cyberspionage zur Erzielung strategischer nationaler und wirtschaftlicher Vorteile betrieben haben.

Abgesehen von der Entdeckung der „ext4“-Hintertür, die auf die tibetische Gemeinschaft abzielte, konnten wir in keiner der in diesem Bericht dokumentierten Organisationen das Vorhandensein von Schadsoftware feststellen, da der Großteil unserer Analyse auf Metadaten von Drittanbietern basierte. Wir gehen jedoch mit mittlerer Sicherheit davon aus, dass das gezielte Scannen und Untersuchen von Netzwerken während des Zeitraums des bilateralen Handels und des strategischen Dialogs zwischen China und seinen Partnern in Alaska, Kenia, Brasilien und der Mongolei darauf hindeutet, dass die Aktivität von einem Bedrohungsakteur (oder mehreren Bedrohungsakteuren mit Zugriff auf denselben Tsinghua-Endpunkt) unter der Leitung des chinesischen Staates durchgeführt wird.

Empfehlungen zur Netzwerkverteidigung

Recorded Future empfiehlt Unternehmen die Durchführung der folgenden Maßnahmen zur Abwehr feindlicher Netzwerkauskundschaften und der möglichen Bereitstellung einer CentOS-Hintertür durch den in diesem Bericht beschriebenen chinesischen Bedrohungsakteur:

• Konfigurieren Sie Ihre Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) so, dass sie vor Verbindungsversuchen von der IP 166.111.8[.]246 der Tsinghua-Universität warnen und diese blockieren.
• Führen Sie mithilfe der bereitgestellten Yara-Regel für die „ext4“-Hintertür Scans aller Linux-Hosts in Netzwerken durch, um das Vorhandensein der Hintertür zu prüfen.
• Stellen Sie gegebenenfalls sicher, dass die Yara-Regel „ext4“ auf dem in Ihrer Organisation verwendeten Endgeräteschutzgerät bereitgestellt wird. Durchsuchen Sie Linux-Hosts nach den Dateien „/usr/bin/ext4“ und „/tmp/0baaf161db39“.

Darüber hinaus empfehlen wir Organisationen, die folgenden allgemeinen Best-Practice-Richtlinien zur Informationssicherheit zu befolgen:

• Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand; insbesondere Betriebssysteme, Antivirensoftware und wichtige Systemdienstprogramme.
• Filtern Sie E-Mail-Korrespondenz und überprüfen Sie Anhänge auf Malware.
• Erstellen Sie regelmäßig Backups Ihres Systems und speichern Sie die Backups offline, am besten außerhalb des Standorts, sodass die Daten nicht über das Netzwerk abgerufen werden können.
• Überlegen Sie sich einen gut durchdachten Reaktions- und Kommunikationsplan für Vorfälle.
• Achten Sie auf eine strikte Abschottung unternehmensrelevanter Daten. Achten Sie insbesondere darauf, auf welche Daten jemand mit Zugriff auf ein Mitarbeiterkonto oder -gerät Zugriff hätte (beispielsweise durch Geräte- oder Kontoübernahme durch Phishing). Erwägen Sie ernsthaft die Einführung eines rollenbasierten Zugriffs, die Beschränkung des unternehmensweiten Datenzugriffs und die Einschränkung des Zugriffs auf vertrauliche Daten.
• Setzen Sie hostbasierte Kontrollen ein – eine der besten Abwehrmaßnahmen und Warnsignale zur Abwehr von Angriffen ist die Durchführung clientbasierter Host-Protokollierung und Angriffserkennungsfunktionen.
• Implementieren Sie grundlegende Bereitstellungen und Kontrollen zur Reaktion auf Vorfälle und zur Erkennung, wie Netzwerk-IDS, Netflow-Sammlung, Host-Protokollierung und Web-Proxy, neben der menschlichen Überwachung der Erkennungsquellen.
• Beachten Sie die Sicherheitsstandards Ihrer Partner oder Lieferkette. Die Fähigkeit, Sicherheitsstandards für Ökosystempartner zu überwachen und durchzusetzen, ist ein wichtiger Teil der Sicherheitslage jedes Unternehmens.

Eine vollständige Liste der zugehörigen Kompromissindikatorenfinden Sie im Anhang der PDF-Version dieser Analyse.

¹Die Tsinghua-Universität wird auch als Qinghua-Universität romanisiert.

²Bei den „Fünf Giften“ handelt es sich nach Ansicht der Kommunistischen Partei Chinas um Bedrohungen für ihre Stabilität. Dazu zählen die Uiguren, die Tibeter, Falun Gong, die chinesische Demokratiebewegung und die taiwanesische Unabhängigkeitsbewegung.

³Als Referenz haben wir in Anhang A eine Tabelle bereitgestellt, die die Offsets für die Ethernet-, IP- und TCP-Header zeigt. Dies kann verwendet werden, um zu verfolgen, wie diese Funktion die Header analysiert.