Staatlich geförderte chinesische Aktivistengruppe nimmt weiterhin indisches Stromnetz ins Visier

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Dieser Bericht beschreibt detailliert eine Kampagne einer vermutlich vom chinesischen Staat gesponserten Bedrohungsgruppe, die auf den indischen Energiesektor abzielte. Die Aktivität wurde durch eine Kombination aus groß angelegter automatisierter Netzwerkverkehrsanalyse und Expertenanalyse identifiziert. Zu den Datenquellen gehören die Recorded Future Platform, SecurityTrails, PolySwarm, Pure Signal ™ von Team Cymru sowie gängige Open-Source-Tools und -Techniken. Der Bericht dürfte vor allem für Personen von Interesse sein, die sich mit strategischen und operativen Geheimdienstinformationen zur Cyberaktivität Indiens und Chinas befassen. Recorded Future hat die zuständigen indischen Regierungsbehörden vor der Veröffentlichung der mutmaßlichen Eindringversuche benachrichtigt, um die Reaktion auf den Vorfall und die Untersuchungen zur Behebung der Probleme in den betroffenen Organisationen zu unterstützen. Unser Dank gilt unseren Kollegen bei Dragos für die frühzeitige Weitergabe und Zusammenarbeit.

Executive Summary

Im Februar 2021 berichtete die Insikt Group von Recorded Future über Einbruchsaktivitäten, die auf Betriebsanlagen im indischen Stromnetz abzielten und die wir einer vermutlich vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppe zuschrieben, die wir als RedEcho verfolgen. Nach einer kurzen Pause nach der Veröffentlichung unseres RedEcho-Berichts haben wir festgestellt, dass indische Stromnetzbetreiber weiterhin von Angreifern mit Verbindungen nach China angegriffen werden. Dabei kommt häufig die privat gemeinsam genutzte modulare Backdoor ShadowPad zum Einsatz. ShadowPad wird weiterhin von einer ständigwachsenden Zahl von mit der Volksbefreiungsarmee (PLA) und dem Ministerium für Staatssicherheit (MSS) verbundenen Gruppen eingesetzt. Seine Ursprünge gehen auf bekannte Auftragnehmer des MSS zurück , die das Tool zunächst für ihre eigenen Einsätze nutzten und später wahrscheinlich als digitaler Quartiermeister fungierten. 

In den letzten Monaten haben wir wahrscheinliche Netzwerkeinbrüche beobachtet, die auf mindestens sieben indische State Load Despatch Centres (SLDCs) abzielten, die für die Durchführung von Echtzeitvorgängen zur Netzsteuerung und Stromverteilung in diesen jeweiligen Bundesstaaten verantwortlich sind. Bemerkenswerterweise konzentrierten sich diese Angriffe geografisch auf die Umgebung: Die identifizierten SLDCs lagen im Norden Indiens, in der Nähe der umstrittenen indisch-chinesischen Grenze in Ladakh. Eines dieser SLDCs war auch Ziel früherer RedEcho-Aktivitäten. Bei dieser jüngsten Serie von Einbrüchen handelt es sich jedoch um eine fast völlig andere Gruppe von Opferorganisationen. Zusätzlich zu den Angriffen auf Stromnetzkomponenten haben wir auch die Kompromittierung eines nationalen Notfallreaktionssystems und der indischen Tochtergesellschaft eines multinationalen Logistikunternehmens durch dieselbe Bedrohungsaktivitätsgruppe identifiziert. Um dies zu erreichen, hat die Gruppe wahrscheinlich mit dem Internet verbundene DVR-/IP-Kamerageräte kompromittiert und für die Befehls- und Steuerung (C2) von Shadowpad-Malware-Infektionen sowie für die Verwendung des Open-Source-Tools FastReverseProxy (FRP) missbraucht.

Trotz eines teilweisen Truppenabzugs zwischen Indien und China seit Februar 2021 gibt der anhaltende Angriff auf kritische Infrastrukturen Indiens weiterhin Anlass zur Sorge, dass chinesische Gegner möglicherweise Truppen positionieren. Diese jüngste Aktivität weist zwar Übereinstimmungen hinsichtlich Zielsetzung und Fähigkeiten mit zuvor identifizierten RedEcho-Aktivitäten auf, es gibt jedoch auch einige bemerkenswerte Unterschiede. Zum jetzigen Zeitpunkt liegen uns keine technischen Beweise vor, die eine Zuordnung zu RedEcho zulassen. Wir fassen diese jüngste Aktivität derzeit unter dem temporären Gruppennamen Threat Activity Group 38 (TAG-38) zusammen.

Wichtige Urteile

• Angesichts der anhaltenden Angriffe auf staatliche und regionale Lastverteilungszentren in Indien in den vergangenen 18 Monaten, zunächst durch RedEcho und jetzt im Rahmen der jüngsten TAG-38-Aktivität, handelt es sich bei diesen Angriffen wahrscheinlich um eine langfristige strategische Priorität für ausgewählte, vom chinesischen Staat gesponserte Bedrohungsakteure, die in Indien aktiv sind.
• Die anhaltenden Angriffe auf das indische Stromnetz durch mit dem chinesischen Staat verbundene Gruppen bieten nur begrenzte Möglichkeiten für Wirtschaftsspionage oder die traditionelle Informationsbeschaffung. Wir gehen davon aus, dass dieses gezielte Vorgehen eher dazu dient, das Sammeln von Informationen über kritische Infrastruktursysteme zu ermöglichen oder eine Vorpositionierung für zukünftige Aktivitäten vorzusehen.
• Das Ziel von Eingriffen kann darin bestehen, ein besseres Verständnis dieser komplexen Systeme zu erlangen, um die Entwicklung von Fähigkeiten für die zukünftige Verwendung zu erleichtern oder ausreichenden Zugriff auf das gesamte System zur Vorbereitung zukünftiger Notfalleinsätze zu erhalten.

Abbildung 1: Grafik der hochrangigen TAG-38-TTPs und der Datenquellen von Recorded Future (Quelle: Recorded Future)

Hintergrund

Abbildung 2: Zeitleiste der Insikt-Forschung zu staatlich geförderten chinesischen Gruppen, die Indien im Visier haben, im Vergleich zu geopolitischen Ereignissen (Quelle: Recorded Future)

Indien bleibt weiterhin ein Hauptziel chinesischer Cyber-Spionage-Aktivitäten, wie aus den historischen Berichten von Recorded Future über RedDelta, RedEcho, RedFoxtrot, TAG-28 und weiteren kundenorientierten Untersuchungen hervorgeht. Obwohl sich die Spannungen im Februar 2021 nach längeren Grenzkonflikten in der Region Ladakh dank eines teilweisen Truppenabzugs verringerten, gab es zwischen den Staaten hinsichtlich ihrer jeweiligen Gebietsansprüche nur begrenzte Fortschritte. 

In unserem RedEcho- Bericht vom Februar 2021 wurde auf die Kompromittierung von zehn verschiedenen indischen Energieunternehmen hingewiesen, darunter vier der fünf Regional Load Despatch Centres (RLDC) des Landes, zwei Häfen, ein großer Stromerzeugungsbetreiber und andere Betriebsanlagen. Diese Vermögenswerte sind für die Zwecke der Wirtschaftsspionage oder anderer traditioneller Geheimdienstziele kaum von Nutzen. Daher kamen wir zu der Einschätzung, dass das Ziel wahrscheinlich in der Vorabkonfiguration des Netzwerkzugriffs zur Unterstützung strategischer Ziele Chinas besteht. Im Anschluss an diesen Bericht vom Februar 2021 konnten wir beobachten, wie die Gruppe die hervorgehobene operative Infrastruktur aufgab und ihre infrastrukturelle Vorgehensweise änderte. Trotzdem gibt es weiterhin Hinweise darauf, dass vom chinesischen Staat gesponserte Akteure gezielt indische Energieanlagen und Organisationen mit Verbindungen zur kritischen Infrastruktur ins Visier nehmen. Dazu gehörte auch der Angriff auf einen indischen Managed Service Provider (MSP) und Anbieter von Betriebstechnologie (OT) mittels ShadowPad, was mit den im jüngsten Dragos- Bericht beschriebenen Aktivitäten übereinstimmt. Wir ordnen diese spezielle Aktivität einer separaten Aktivitätsgruppe zu, die wir als Threat Activity Group 26 (TAG-26) verfolgen. Wir haben beobachtet, wie TAG-26 mehrere wichtige Organisationen in Indien ins Visier nahm und dabei ShadowPad, Poison Ivy und RoyalRoad RTF als Waffe einsetzte. 

Die Nutzung von ShadowPad in chinesischen Aktivitätsgruppen nimmt mit der Zeit immer weiter zu. Durch die Verwendung der Hintertür werden regelmäßig neue Aktivitätscluster identifiziert, und auch bereits zuvor verfolgte Cluster übernehmen die Malware weiterhin. Derzeit verfolgen wir mindestens zehn verschiedene Aktivitätsgruppen mit Zugriff auf ShadowPad. Es wird davon ausgegangen, dass es ursprünglich von mit MSS verbundenen Vertragspartnern entwickelt und verwendet wurde, die mit dem APT41 (BARIUM)-Intrusion-Set in Verbindung stehen.

Anmerkung des Herausgebers: Dieser Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.