RedAlpha führt mehrjährige Kampagne gegen Identitätsdiebstahl durch und zielt dabei auf humanitäre Organisationen, Think Tanks und Regierungsorganisationen weltweit ab

Anmerkung des Herausgebers: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Dieser Bericht beschreibt mehrere Kampagnen der vermutlich vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppe RedAlpha. Die Aktivität wurde durch eine Kombination aus groß angelegter automatisierter Netzwerkverkehrsanalyse und Expertenanalyse identifiziert. Zu den Datenquellen gehören die Recorded Future ® Plattform, SecurityTrails, PolySwarm, DomainTools Iris, URLScan und gängige Open-Source-Tools und -Techniken. Das größte Interesse dürfte an diesem Dokument Einzelpersonen und Organisationen wecken, die über strategische und operative Informationen zur chinesischen Cyber-Bedrohungsaktivität verfügen, sowie globale humanitäre Organisationen, Think Tanks und staatliche Einrichtungen. Vor der Veröffentlichung dieses Berichts hat Recorded Future alle betroffenen Organisationen über die festgestellte Aktivität informiert, um die Reaktion auf den Vorfall und die Untersuchungen zur Behebung des Vorfalls zu unterstützen.

Executive Summary

Parallel zu den regelmäßigen Berichten humanitärer Organisationen und Medien über Menschenrechtsverletzungen, die von der Kommunistischen Partei Chinas (KPCh) orchestriert werden, beobachtet Recorded Future regelmäßig vom chinesischen Staat geförderte Cyber-Spionage- und Überwachungskampagnen, deren Ziel wahrscheinlich die Beschaffung von Informationen zur Unterstützung derartiger Verstöße ist. Unter anderem verfolgen wir weiterhin Aktivitäten, die wir der vermutlich vom chinesischen Staat gesponserten Bedrohungsgruppe RedAlpha (Deepcliff, Red Dev 3) zuschreiben, wie wir bereits im Juni 2018 berichteten . Seitdem beobachten wir, wie die Gruppe massenhaft Anmeldedaten gestohlen hat und dabei in erster Linie humanitäre Organisationen, Think Tanks und Regierungsorganisationen auf der ganzen Welt ins Visier nimmt.

In den vergangenen drei Jahren konnten wir beobachten, wie RedAlpha Hunderte von Domains registrierte und als Waffe einsetzte, um Organisationen wie die Internationale Föderation für Menschenrechte (FIDH), Amnesty International, das Mercator Institute for China Studies (MERICS), Radio Free Asia (RFA), das American Institute in Taiwan (AIT) und andere globale Regierungs-, Think-Tank- und humanitäre Organisationen, die in den strategischen Interessen der chinesischen Regierung liegen, zu fälschen. In der Vergangenheit hat die Gruppe auch gezielt Angriffe gegen ethnische und religiöse Minderheiten verübt, darunter Einzelpersonen und Organisationen innerhalb der tibetischen und uigurischen Gemeinschaft. Wie in diesem Bericht hervorgehoben wird, hat RedAlpha in den letzten Jahren auch ein besonderes Interesse daran gezeigt, politische Organisationen, Regierungsorganisationen und Think Tanks in Taiwan zu fälschen, wahrscheinlich um an politische Informationen zu gelangen.

Wichtige Urteile

• RedAlpha ist wahrscheinlich auf Auftragnehmer zurückzuführen, die im Auftrag des chinesischen Staates Cyber-Spionage-Aktivitäten durchführen. Diese Einschätzung basiert auf der konsequenten Zielsetzung der Gruppe im Einklang mit den strategischen Interessen der KPCh, auf historischen Verbindungen zu Personen und einem privaten Unternehmen mit Sitz in der Volksrepublik China (VRC) sowie auf der umfassenderen und regelmäßig dokumentierten Nutzung privater Auftragnehmer durch chinesische Geheimdienste.
• Bei dieser Aktivität versuchte RedAlpha höchstwahrscheinlich, Zugriff auf E-Mail-Konten und andere Online-Kommunikation von gezielt ausgewählten Personen und Organisationen zu erhalten.
• Dass RedAlpha Organisationen wie Amnesty International und FIDH mit humanitären und menschenrechtlichen Zielen ins Visier nimmt und inszeniert, ist angesichts der berichteten Menschenrechtsverletzungen der KPCh gegenüber Uiguren, Tibetern und anderen ethnischen und religiösen Minderheitengruppen in China besonders besorgniserregend.

Hintergrund

Obwohl das Unternehmen seit mindestens 2015 große Teile der operativen Infrastruktur kontrolliert und ein hohes Betriebstempo aufrechterhält, gab es in den letzten Jahren nur minimale öffentliche Berichte über die Aktivitäten von RedAlpha. Die Gruppe wurde erstmals im Jahr 2018 von CitizenLab entdeckt und dabei beobachtet, wie sie Anmeldeinformations-Phishing-Operationen durchführte, die auf die tibetische Gemeinschaft und andere ethnische Minderheiten sowie auf soziale Bewegungen, eine Mediengruppe und Regierungsbehörden in Süd- und Südostasien abzielten. Im Juni 2018 veröffentlichten wir Aktivitäten im Zusammenhang mit zwei RedAlpha-Kampagnen, die ebenfalls auf die tibetische Community abzielten, um letztendlich die Open-Source-Malware-Familie NjRAT einzusetzen. Diese beiden Kampagnen überschnitten sich mit der Berichterstattung von CitizenLab aufgrund übereinstimmender WHOIS-Registrierungsdaten, einer gemeinsamen Ausrichtung auf die tibetische Community und Hosting-Überschneidungen. Auf die in diesem Bericht untersuchten Aktivitäten von RedAlpha wird auch im Jahresrückblick 2021 von PWC verwiesen, in dem die Gruppe unter dem Namen Red Dev 3 verfolgt wird.

Die Aktivitäten von RedAlpha richteten sich in der Vergangenheit gegen zahlreiche ethnische und religiöse Minderheitengemeinschaften, die in China verfolgt wurden, darunter Tibeter, Uiguren und Anhänger von Falun Gong. Generell sind Organisationen und Einzelpersonen, die mit ethnischen und religiösen Minderheiten in der Volksrepublik China in Verbindung stehen – insbesondere jene innerhalb der sogenannten „ Fünf Gifte“ – seit vielen Jahren ein häufiges Ziel von Cyber-Bedrohungsgruppen mit Verbindungen zu chinesischen Geheimdiensten. Dazu gehörten Angriffe von RedDelta (Mustang Panda, TA416) , die den Vatikan und Organisationen mit Verbindungen zu den tibetischen und katholischen Gemeinden Hongkongs ins Visier nahmen ; Auftragnehmer des chinesischen Ministeriums für Staatssicherheit (MSS), die E-Mails chinesischer christlicher Geistlicher angriffen ; APT41 (Barium), das Aufklärungskampagnen gegen Aktivisten und andere Personen mit Verbindungen zur Demokratiebewegung Hongkongs durchführte ; und die Ausnutzung von Zero-Day-Schwachstellen, um Mitglieder der uigurischen Gemeinschaft ins Visier zu nehmen.

Bedrohungsanalyse

In den letzten drei Jahren hat Recorded Future beobachtet, dass RedAlpha weiterhin Anmeldeinformations-Phishing-Aktivitäten durchführt und dabei große Cluster operativer Infrastruktur zur Unterstützung von Kampagnen nutzt. Während dieser Zeit zeigte die Gruppe einen konsistenten Satz an Taktiken, Techniken und Verfahren (TTPs). Ende 2019 und Anfang 2020 hat sich die Gruppe wahrscheinlich von älteren Infrastruktur-TTPs, die in öffentlichen Berichten aufgeführt wurden, wie der Registrierung von Domänen über GoDaddy und dem Hosting auf der Infrastruktur von Choopa (Vultr) und Forewin Telecom, abgewandt und sich den im folgenden Abschnitt beschriebenen TTPs zugewandt.

Taktiken, Techniken und Verfahren der RedAlpha-Infrastruktur

Seit mindestens 2015 hat RedAlpha kontinuierlich eine große Anzahl von Domänen registriert und als Waffe für Kampagnen zum Diebstahl von Anmeldeinformationen eingesetzt. Diese Domänen imitieren typischerweise bekannte E-Mail-Dienstanbieter und täuschen bestimmte Organisationen vor, die entweder direkt in der Aktivität von RedAlpha im Visier sind oder die verwendet werden können, um sich bei Aktivitäten, die auf benachbarte Organisationen und Einzelpersonen abzielen, als diese Organisationen auszugeben. Im Jahr 2021 verzeichneten wir einen deutlichen Anstieg der Zahl der von der Gruppe registrierten Domains auf insgesamt über 350. In diesem Zeitraum wurden die Infrastruktur-TTPs der Gruppe durch die folgenden Kriterien charakterisiert, die es uns ermöglichten, diese Aktivitäten zu gruppieren:

• Nutzung von *resellerclub[.]com Nameserver
• Nutzung des Virtual Private Server (VPS)-Hosting-Anbieters Virtual Machine Solutions LLC (VirMach)
• Einheitliche Domänen-Namenskonventionen, wie etwa die Verwendung der Zeichenfolgen „mydrive-“, „accounts-“, „mail-“, „drive-“ und „files-“ über Hunderte von Domänen hinweg
• Überlappende WHOIS-Registrantennamen, E-Mail-Adressen, Telefonnummern und Organisationen
• Die Verwendung bestimmter serverseitiger Technologiekomponenten und gefälschter HTTP 404 Not Found-Fehler

Außer dem allgemeinen Spoofing großer E-Mail- und Speicherdienstanbieter wie Yahoo (135 Typosquat-Domänen), Google (91 Typosquat-Domänen) und Microsoft (70 Typosquat-Domänen) konnten wir die Verwendung einer großen Anzahl von Domänen zum Typosquatting von humanitären Organisationen, Think-Tanks und Regierungsorganisationen beobachten, darunter:

• Radio Freies Asien
• Mercator-Institut für China-Studien
• Amnesty International
• Internationale Föderation für Menschenrechte
• Amerikanische Handelskammer (einschließlich AmCham Taiwan)
• Purdue Universität
• Indiens Nationales Informatikzentrum
• Taiwans Demokratische Fortschrittspartei
• Amerikanisches Institut in Taiwan
• Außenministerien in mehreren Ländern weltweit

In vielen der in den folgenden Abschnitten hervorgehobenen Fälle spiegelten die beobachteten Phishing-Seiten legitime E-Mail-Anmeldeportale der oben genannten spezifischen Organisationen wider. Wir vermuten, dass dies bedeutet, dass sie gezielt Einzelpersonen angreifen wollten, die direkt mit diesen Organisationen verbunden sind, und nicht, dass sie diese Organisationen einfach imitierten, um andere Drittparteien anzugreifen. In anderen Fällen verwendeten die Phishing-Seiten allgemeine Anmeldeseiten beliebter E-Mail-Anbieter und die Zielausrichtung war nicht eindeutig. Die Gruppe verwendete einfache PDF-Dateien mit Links zu den identifizierten Phishing-Sites. Normalerweise hieß es darin, der Benutzer müsse auf den Link klicken, um eine Vorschau der Dateien anzuzeigen oder sie herunterzuladen.

Humanitäre Organisationen und Thinktanks im Visier

Wie bereits erwähnt, hat RedAlpha regelmäßig Domains registriert, die humanitäre Organisationen und Think Tanks imitieren, darunter MERICS, FIDH, Amnesty International, RFA und mehrere taiwanesische Think Tanks. Besonders hervorzuheben ist, dass die Registrierung von mindestens 16 Domänen, die von Anfang bis Mitte 2021 MERICS vortäuschten, mit der Verhängung von Sanktionen durch das chinesische Außenministerium (MOFA) gegen die in Berlin ansässige Denkfabrik im März 2021 zusammenfiel.

RedAlphas konsequenter Fokus auf Taiwan

In den vergangenen drei Jahren haben wir beobachtet, dass RedAlpha immer wieder Domänen registriert, die die taiwanesische oder in Taiwan ansässige Regierung, Denkfabrik oder politische Organisationen imitieren. Dazu gehörte insbesondere die Registrierung mehrerer Domänen, die das AIT imitierten, die De-facto- Botschaft der Vereinigten Staaten von Amerika in Taiwan, und zwar zu einer Zeit, als die Spannungen zwischen den USA und China im vergangenen Jahr in Bezug auf Taiwan zunahmen . Ähnlich wie bei umfassenderen Aktivitäten wurden diese Domänen auch für Anmeldeinformations-Phishing-Aktivitäten verwendet. Dabei wurden gefälschte Anmeldeseiten für beliebte E-Mail-Anbieter wie Outlook verwendet. Darüber hinaus wurden auch andere E-Mail-Softwareprogramme wie Zimbra emuliert, die von diesen bestimmten Organisationen verwendet werden (siehe Abbildung 6). In Tabelle 1 finden Sie eine Beispielliste von Typosquat-Domänen, die taiwanesische Organisationen vortäuschen.

RedAlpha nimmt Außenministerien und Botschaften ins Visier

Wie im Jahresrückblick 2021 von PWC vermerkt, hat sich die Aktivität von RedAlpha in den letzten Jahren ausgeweitet und umfasst nun auch Credential-Phishing-Kampagnen, bei denen die Identität der Außenministerien mehrerer Länder vorgetäuscht wird. Wir haben Phishing-Seiten beobachtet, die sich als Webmail-Login-Portale der Außenministerien von Taiwan und Portugal ausgeben (siehe Abbildungen 7 und 8), und außerdem mehrere Domänen, die sich als Brasiliens und Vietnams Außenminister ausgeben. Im vorherigen Abschnitt wurde auch die durchgängige Verwendung von Domänen hervorgehoben, die das AIT imitieren. Die Gruppe hat außerdem wiederholt Anmeldeseiten für das indische National Informatics Centre (NIC) gefälscht, das die IT-Infrastruktur und -Dienste für die indische Regierung verwaltet.

Anmerkung des Herausgebers: Dieser Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.