>
Research (Insikt)

Mit China verbundene Gruppe RedEcho nimmt angesichts erhöhter Spannungen an der Grenze den indischen Energiesektor ins Visier

Veröffentlicht: 28. Februar 2021
Von: Insikt Group

insikt-group-logo-aktualisiert-3.png

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

_Dieser Bericht beschreibt detailliert eine Kampagne der mit China verbundenen Bedrohungsgruppe RedEcho, die sich gegen den indischen Energiesektor richtet. Die Aktivität wurde durch eine Kombination aus groß angelegter automatisierter Netzwerkverkehrsanalyse und Expertenanalyse identifiziert. Zu den Datenquellen gehören die Recorded Future Platform, SecurityTrails, Spur, Farsight und gängige Open-Source-Tools und -Techniken. Der Bericht dürfte vor allem für Personen von Interesse sein, die sich mit strategischen und operativen Geheimdienstinformationen zu indischen und chinesischen Aktivitäten im Cyberspace befassen.

Recorded Future hat vor der Veröffentlichung der mutmaßlichen Eindringversuche die zuständigen indischen Regierungsbehörden benachrichtigt, um die Reaktion auf den Vorfall und die Untersuchungen zur Behebung der Sicherheitslücken in den betroffenen Organisationen zu unterstützen._

Executive Summary

Die Beziehungen zwischen Indien und China haben sich nach den Grenzkonflikten im Mai 2020 deutlich verschlechtert. In diesem Zusammenhang kam es zwischen den beiden bevölkerungsreichsten Ländern der Welt zum ersten Mal seit 45 Jahren zu Kampftoten . Infolgedessen gab Indiens Außenminister Subrahmanyam Jaishankar am 12. Januar 2021 bekannt , das Vertrauen zwischen Indien und China sei „zutiefst gestört“. Zwar konnten diplomatische und wirtschaftliche Faktoren einen umfassenden Krieg verhindern – wie zuletzt durch den bilateralen Rückzug an der Grenze –, doch bieten Cyberoperationen den einzelnen Ländern auch weiterhin eine wirksame asymmetrische Möglichkeit, Spionage zu betreiben oder sich mit potenziell störenden Absichten in Netzwerke einzuschleichen.

Seit Anfang 2020 beobachtete die Insikt Group von Recorded Future einen starken Anstieg mutmaßlich gezielter Eindringaktivitäten gegen indische Organisationen durch staatlich geförderte chinesische Gruppen. Ab Mitte 2020 enthüllte die Midpoint-Sammlung von Recorded Future einen starken Anstieg der Nutzung der als AXIOMATICASYMPTOTE bezeichneten Infrastruktur, zu der auch ShadowPad-Befehls- und Kontrollserver (C2) gehören, um große Teile des indischen Energiesektors ins Visier zu nehmen. Zehn verschiedene Organisationen des indischen Energiesektors, darunter vier der fünf Regional Load Despatch Centres (RLDC), die für den Betrieb des Stromnetzes durch den Ausgleich von Stromangebot und -nachfrage verantwortlich sind, wurden als Ziele einer konzertierten Kampagne gegen die kritische Infrastruktur Indiens identifiziert. Zu den weiteren identifizierten Zielen zählten zwei indische Seehäfen.

Durch eine Kombination aus proaktiver Erkennung gegnerischer Infrastrukturen, Domänenanalyse und aufgezeichneter zukünftiger Netzwerkverkehrsanalyse haben wir ermittelt, dass eine Teilmenge dieser AXIOMATICASYMPTOTE-Server einige gemeinsame Infrastrukturtaktiken, -techniken und -verfahren (TTPs) mit mehreren zuvor gemeldeten, vom chinesischen Staat gesponserten Gruppen teilt, darunter APT41 und Tonto Team.

Trotz einiger Überschneidungen mit früheren Gruppen glaubt die Insikt Group derzeit nicht, dass genügend Beweise vorliegen, um die Aktivitäten dieser speziellen Kampagne eindeutig einer bestehenden öffentlichen Gruppe zuzuordnen. Daher verfolgt sie diese weiterhin als eng verwandte, aber eigenständige Gruppe namens RedEcho.

Wichtige Urteile

  • Der gezielte Angriff auf kritische Infrastrukturen in Indien bietet zwar nur begrenzte Möglichkeiten zur Wirtschaftsspionage, wir gehen jedoch davon aus, dass erhebliche Bedenken hinsichtlich der möglichen Vorabkonfiguration des Netzwerkzugriffs zur Unterstützung chinesischer strategischer Ziele bestehen.
  • Durch die Vorpositionierung von Energieanlagen können mehrere mögliche Ergebnisse erzielt werden, darunter die geostrategische Signalisierung in Zeiten erhöhter bilateraler Spannungen, die Unterstützung von Einflussoperationen oder die Funktion als Vorläufer einer kinetischen Eskalation.
  • RedEcho verfügt über eine starke Infrastruktur und die Viktimologie überschneidet sich mit den chinesischen Gruppen APT41/Barium und Tonto Team, während ShadowPad von mindestens fünf verschiedenen chinesischen Gruppen verwendet wird.
  • Die hohe Konzentration von IPs, die auf kritische indische Infrastruktureinheiten verweisen, die über mehrere Monate hinweg mit einer bestimmten Teilmenge der von RedEcho verwendeten AXIOMATICASYMPTOTE-Server kommunizierten, deutet auf eine gezielte Kampagne hin. In der Netzwerktelemetrie von Recorded Future gibt es kaum Hinweise auf eine breitere Zielausrichtung.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Verwandt