>
Research (Insikt)

Recorded Future Research kommt zu dem Schluss, dass das chinesische Ministerium für Staatssicherheit hinter APT3 steckt

Veröffentlicht: 17. Mai 2017
Von: Insikt Group

insikt-group-logo-alt.png

Dies ist das erste Mal, dass Forscher mit hoher Wahrscheinlichkeit eine Gruppe von Bedrohungsakteuren dem Ministerium für Staatssicherheit zuordnen konnten.

Key Takeaways

  • APT3 ist die erste Bedrohungsakteursgruppe, die mit hoher Wahrscheinlichkeit direkt dem chinesischen Ministerium für Staatssicherheit (MSS) zugeschrieben wird.

  • Am 9. Mai schrieb eine mysteriöse Gruppe namens „Intrusiontruth“ APT3 einem Unternehmen zu, der Guangzhou Boyu Information Technology Company mit Sitz in Guangzhou, China.

  • Die Open-Source-Recherchen und -Analysen von Recorded Future haben bestätigt, dass das auch als Boyusec bekannte Unternehmen im Auftrag des chinesischen Ministeriums für Staatssicherheit arbeitet.

  • Kunden sollten sämtliche Eindringaktivitäten, bei denen es sich bekanntermaßen oder mutmaßlich um APT3 handelt, sowie alle Aktivitäten der zugehörigen Malware-Familien erneut prüfen und ihre Sicherheitskontrollen und -richtlinien neu bewerten.

Einführung

Am 9. Mai identifizierte eine mysteriöse Gruppe mit dem Namen „ Intrusiontruth“ einen Auftragnehmer des chinesischen Ministeriums für Staatssicherheit (MSS) als die Gruppe hinter den APT3-Cyberangriffen.

chinesisches-mss-hinter-apt3-1.png

Aufgezeichnete zukünftige Zeitleiste der APT3-Opfer.

chinesisches-mss-hinter-apt3-2.png

Screenshot eines Blogbeitrags von „Intrusiontruth in APT3“.

„Intrusiontruth“ dokumentierte historische Verbindungen zwischen Domänen, die von einem APT3-Tool namens Pirpi verwendet wurden, und zwei Anteilseignern eines chinesischen Informationssicherheitsunternehmens namens Guangzhou Boyu Information Technology Company, Ltd (auch bekannt als Boyusec).

chinesisches-mss-hinter-apt3-3.png

Registrierungsinformationen für eine Domäne, die mit der Schadsoftware Pirpi verknüpft ist. Aus den Details geht hervor, dass die Domäne auf Dong Hao und Boyusec registriert war.

APT3 hat traditionell eine breite Palette von Unternehmen und Technologien ins Visier genommen, die wahrscheinlich den Anforderungen der Informationsbeschaffung im Auftrag des MSS entsprechen (siehe Forschungsergebnisse unten). Recorded Future hat APT3 aufmerksam verfolgt und zusätzliche Informationen entdeckt, die bestätigen, dass MSS für die Einbruchsaktivitäten der Gruppe verantwortlich ist.

chinesisches-mss-hinter-apt3-4.png

Aufgezeichnete Future Intelligence Card ™ für APT3.

Hintergrund

APT3 (auch bekannt als UPS, Gothic Panda und TG-011) ist eine hochentwickelte Bedrohungsgruppe, die seit mindestens 2010 aktiv ist. APT3 nutzt ein breites Spektrum an Tools und Techniken, darunter Spearphishing-Angriffe, Zero-Day-Exploits und zahlreiche einzigartige und öffentlich verfügbare Remote Access Tools (RAT). Zu den Opfern von APT3-Angriffen zählen Unternehmen aus den Bereichen Verteidigung, Telekommunikation, Transport und Hochtechnologie sowie Ministerien und Behörden in Hongkong, den USA und mehreren anderen Ländern.

Analyse

Auf der Website von Boyusec benennt das Unternehmen ausdrücklich zwei Organisationen, mit denen es eine Kooperation eingeht: Huawei Technologies und das Guangdong Information Technology Security Evaluation Center (oder Guangdong ITSEC).

chinesisches-mss-hinter-apt3-5.png

Screenshot der Website von Boyusec, auf der Huawei und Guangdong ITSEC
als Kooperationspartner genannt werden.

Im November 2016 berichtete der Washington Free Beacon , dass ein interner Geheimdienstbericht des Pentagon ein Produkt enthüllt habe, das Boyusec und Huawei gemeinsam herstellten. Dem Bericht des Pentagons zufolge arbeiteten die beiden Unternehmen gemeinsam an der Herstellung von Sicherheitsprodukten, die vermutlich eine Hintertür enthielten, die es dem chinesischen Geheimdienst ermöglichen würde, „Daten abzufangen und Computer- und Telekommunikationsgeräte zu kontrollieren“. Der Artikel zitiert Regierungsvertreter und Analysten mit der Aussage, dass zwischen Boyusec und dem MSS eine „enge Verbindung“ bestehe und dass es sich bei Boyusec offenbar um eine Tarnfirma des MSS handele.

chinesisches-mss-hinter-apt3-6.png

Bilddaten © 2017 DigitalGlobe, Kartendaten © 2017

Boyusec befindet sich in Zimmer 1103 des Huapu Square West Tower in Guangzhou, China.

Die Zusammenarbeit von Boyusec mit seinem anderen „Kooperationspartner“, Guangdong ITSEC, ist weniger gut dokumentiert. Wie weiter unten dargelegt wird, kam Recorded Future bei seinen Untersuchungen zu dem Schluss, dass Guangdong ITSEC einer vom MSS geführten Organisation namens China Information Technology Evaluation Center (CNITSEC) untersteht und dass Boyusec seit 2014 mit Guangdong ITSEC an einem gemeinsamen aktiven Verteidigungslabor arbeitet.

Guangdong ITSEC ist eines in einem landesweiten Netzwerk von Sicherheitsbewertungszentren, die von CNITSEC zertifiziert und verwaltet werden. Laut chinesischen staatlichen Medien wurde Guangdong ITSEC im Mai 2011 die sechzehnte landesweite Niederlassung von CNITSEC. Die Site von Guangdong ITSEC listet sich in ihrer Kopfzeile auch als CNITSECs Guangdong-Büro auf.

Einer in China and Cybersecurity: Espionage, Strategy, and Politics in the Digital Domain veröffentlichten wissenschaftlichen Studie zufolge wird CNITSEC vom MSS betrieben und beherbergt einen Großteil der technischen Cyber-Expertise des Geheimdienstes. CNITSEC wird vom MSS verwendet, um „Schwachstellentests und Bewertungen der Softwarezuverlässigkeit durchzuführen.“ Einem Telegramm des US-Außenministeriums aus dem Jahr 2009 zufolge wird angenommen, dass China bei Geheimdienstoperationen auch Schwachstellen ausnutzt, die sich aus den Aktivitäten des CNITSEC ergeben. Der Direktor des CNITSEC, Wu Shizhong, bezeichnet sich selbst sogar als MSS, unter anderem aufgrund seiner Tätigkeit als stellvertretender Leiter des chinesischen National Information Security Standards Committee im Januar 2016.

Die Recherche von Recorded Future ergab mehrere Stellenanzeigen auf chinesischsprachigen Job-Websites wie jobs.zhaopin.com, jobui.com, und kanzhun.com seit 2015, Boyusec gab 2014 ein gemeinsam mit Guangdong ITSEC gegründetes gemeinsames aktives Verteidigungslabor (ADUL genannt) bekannt. Boyusec erklärte, dass die Mission des gemeinsamen Labors darin bestehe, risikobasierte Sicherheitstechnologie zu entwickeln und Benutzern innovative Möglichkeiten zur Netzwerkverteidigung bereitzustellen.

chinesisches-mss-hinter-apt3-7.png

Stellenausschreibung, in der Boyusec das gemeinsame Labor mit Guangdong ITSEC hervorhebt. Der übersetzte Text lautet: „Im Jahr 2014 haben die Guangzhou Boyu Information Technology Company und Guangdong ITSEC eng zusammengearbeitet, um ein gemeinsames aktives Verteidigungslabor (ADUL) einzurichten.“

Abschluss

Der Lebenszyklus von APT3 ist ein Sinnbild dafür, wie das MSS sowohl im menschlichen als auch im Cyberbereich Operationen durchführt. Laut Angaben chinesischer Geheimdienstexperten besteht das MSS aus nationalen, provinziellen und lokalen Elementen. Zu vielen dieser Elemente, insbesondere auf Provinz- und lokaler Ebene, zählen Organisationen mit legitimen öffentlichen Aufgaben , die als Deckmantel für die Geheimdienstoperationen des MSS fungieren. Zu diesen Organisationen gehören unter anderem Denkfabriken wie CICIR, zu anderen wiederum Provinzregierungen und lokale Ämter.

Im Fall von APT3 und Boyusec dient dieses MSS-Betriebskonzept als Modell zum Verständnis der Cyberaktivität und des Lebenszyklus:

  • Boyusec verfügt zwar über eine Website, eine Online-Präsenz und eine erklärte Mission im Bereich „Informationssicherheitsdienste“, nennt jedoch nur zwei Partner, nämlich Huawei und Guangdong ITSEC.

  • Intrusiontruth und der Washington Free Beacon haben Boyusec mit der Unterstützung und Beteiligung an Cyberaktivitäten im Auftrag der chinesischen Geheimdienste in Verbindung gebracht.

  • Die Open-Source-Recherche von Recorded Future hat ergeben, dass es sich bei Boyusecs anderem Partner um eine Außenstelle einer Zweigstelle des MSS handelt. Es ist dokumentiert, dass Boyusec und Guangdong ITSEC seit mindestens 2014 zusammenarbeiten.

  • Jahrzehntelange akademische Forschung dokumentiert ein Operationsmodell des MSS, das Organisationen auf allen staatlichen Ebenen nutzt, die scheinbar keinen Geheimdienstauftrag haben und als Deckmantel für die Geheimdienstoperationen des MSS dienen.

  • Der Website von Boyusec zufolge gibt es nur zwei Kooperationspartner: Mit einem davon (Huawei) arbeitet es bei der Unterstützung chinesischer Geheimdienste zusammen, mit dem anderen, Guangdong ITSEC, handelt es sich eigentlich um einen Außenstandort für eine Zweigstelle des MSS.

chinesische-mss-hinter-apt3-8.jpg

Grafik, die die Beziehung zwischen MSS und APT3 zeigt.

Auswirkungen

Die Auswirkungen sind klar und weitreichend. Aufgrund der Untersuchungen von Recorded Future können wir APT3 mit hoher Wahrscheinlichkeit dem chinesischen Ministerium für Staatssicherheit und Boyusec zuordnen. Boyusec hat eine nachweisliche Geschichte der Herstellung bösartiger Technologien und der Zusammenarbeit mit den chinesischen Geheimdiensten.

APT3 ist die erste Bedrohungsakteursgruppe, die mit hoher Wahrscheinlichkeit direkt dem MSS zugeschrieben wird. Unternehmen in Branchen, die Opfer von APT3 geworden sind, müssen nun ihre Strategien anpassen, um sich gegen die Ressourcen und Technologie der chinesischen Regierung zu verteidigen. In dieser realen David-gegen-Goliath-Situation benötigen Kunden sowohl intelligente Sicherheitskontrollen und -richtlinien als auch umsetzbare und strategische Bedrohungsinformationen.

APT3 ist nicht einfach nur eine weitere Cyber-Bedrohungsgruppe, die böswillige Cyber-Aktivitäten ausführt. Untersuchungen deuten darauf hin, dass Boyusec zum Aktivposten des MSS gehört und dass seine Aktivitäten die politischen, wirtschaftlichen, diplomatischen und militärischen Ziele Chinas unterstützen.

Die Anforderungen an die Informationsbeschaffung leitet das MSS von der Staats- und Parteiführung ab. Viele dieser Anforderungen werden alle fünf Jahre in offiziellen Regierungsrichtlinien, den sogenannten Fünfjahresplänen, allgemein definiert. Viele Opfer von APT3 kommen aus Sektoren, die im jüngsten Fünfjahresplan hervorgehoben wurden, darunter grüne/alternative Energien, verteidigungsbezogene Wissenschaft und Technologie, Biomedizin sowie die Luft- und Raumfahrt.

Verwandt