Hinweis zum Umfang: Zu den Quellen dieser Forschung zählen die Recorded Future-Plattform, die Detonation der Recorded Future-Malware, die Erkenntnisse und Methoden von Citizen Lab, Shodan, VirusTotal, Censys, ReversingLabs sowie Metadaten von Drittanbietern. Recorded Future möchte Rapid7 und ihrem National Exposure Index für die Quantifizierung der aktuellen IP-Landschaft im Jemen danken. Recorded Future bedankt sich außerdem bei Joe Sicherheit für die Verwendung ihres Produkts zur Analyse von Malware-Samples von Android-Geräten.

Executive Summary

Mitten im anhaltenden Bürgerkrieg im Jemen führen lokale und internationale Akteure mittels der Kontrolle des Internets und anderer Cyber-Mittel einen Sekundärkrieg. Die Insikt Group von Recorded Future geht davon aus, dass sich die Dynamik des Bürgerkriegs im Jemen online in einem Kampf um den Zugang der Jemeniten zum Internet sowie um dessen Nutzung und Kontrolle manifestiert. Recorded Future stellte sowohl Zensurkontrollen als auch Datenverkehr fest, der versuchte, diese Kontrollen im Jemen zu unterlaufen, sowie Spyware-Aktivitäten. Mit diesem Bericht soll ein Ausgangsbericht über die Internetaktivität, -nutzung und den Internetzugriff im Jemen erstellt werden.

Wichtige Urteile

• Seit der Einnahme der jemenitischen Hauptstadt Sana‘a im September 2014 kontrollieren die Houthi-Rebellen den wichtigsten Internetdienstanbieter YemenNet und verfügen über dieselben Zugangskontrollen und Zensurinstrumente, die sie schon zuvor eingesetzt hatten, um die Internetaktivität zu stören, zu beeinträchtigen oder zu überwachen.
• Recorded Future geht mit mittlerer Sicherheit davon aus, dass die Houthi-Rebellen in Sana'a die riesige IP-Infrastruktur von YemenNet ausnutzen, um Coinhive-Mining-Dienste zu hosten und so Einnahmen zu erzielen.
• Während offizielle Regierungsseiten auf YemenNet und der .ye gehostet werden Der Domänenbereich wurde geändert, um die Houthi-Regierung in Sana'a und nicht die Hadi-Regierung in Aden widerzuspiegeln. Recorded Future hat einige Schwachstellen im Hauptnamenserver von YemenNet und mehreren Servern festgestellt, auf denen bis vor kurzem über 500 offizielle .ye-Domänen gehostet wurden. Domänen.
• Die Hadi-Regierung, die mittlerweile in Aden statt in Sana'a ansässig ist, hat im Juni 2018 einen neuen ISP namens AdenNet eingerichtet. Wir sind davon überzeugt, dass dies zu einer neuen Internet-Resilienz im Land führen könnte, da die Zahl der Internet- und Mobilfunkabonnements weiter steigt.
• Ein kleiner Prozentsatz der Internetnutzer im Jemen verwendet entweder VPNs, Tor oder Router mit DNS-Rekursion, um staatliche Kontrollen zu umgehen.
• Verdächtige Internetaktivitäten aus dem Jemen deuten auf ein geringes Maß an Adware und Spyware hin. Die Informationen über die dahinter stehenden Akteure sind jedoch nicht schlüssig.
• Bedeutende internationale Akteure, darunter die USA, Russland und China, nutzen Schadsoftware, militärische Aktivitäten, politischen Einfluss und Investitionen, um ihre Interessen im saudi-iranischen Regionalkonflikt um die Vorherrschaft im Jemen durchzusetzen.

Grafische Darstellung dieser Analyse.

Hintergrund

Seit 2015 herrscht im Jemen ein Bürgerkrieg. Der Konflikt wird durch konfessionelle, religiöse und politische Spaltungen geschürt, da der Jemen im Vergleich zum Rest der Arabischen Halbinsel relativ multikulturell ist. Die Jemeniten haben mehrere Bürgerkriege überstanden, darunter einen Konflikt im Nordjemen von 1962 bis 1970 und einen blutigen Krieg 1994 , nachdem sie sich 1990 gegen die Wiedervereinigung des Landes gewehrt hatten. Ali Abdullah Saleh, ein ehemaliger Präsident des Jemen, beschrieb die Regierung des Landes trotz aller internen Kämpfe als "Tanz auf den Köpfen von Schlangen".

Der aktuelle Bürgerkrieg geht auf eine Reihe blutiger Proteste zurück, die durch den Arabischen Frühling ausgelöst wurden und Präsident Ali Abdullah Saleh 2011 zum Rücktritt zwangen . Dies brachte den an der Macht befindlichen Vizepräsidenten Abdrabbuh Mansur Hadi in eine schwierige Lage und hatte den Auftrag , eine einheitliche Regierung im Jemen zu bilden. Hadi gelang es letztlich nicht, das Land zu vereinen, und es blieb weitgehend ohne Regierung. Der Mangel an Kontrolle führte zu einem Machtvakuum , das das Wachstum rebellischer Fraktionen, konkurrierender, vom Ausland unterstützter Regierungen und das schwelende Problem des Extremismus ermöglichte.

Die zaiditisch-schiitischen Houthis gelten weitgehend als die rebellische Fraktion und werden vom iranischen Regime unterstützt und versorgt . Die Fraktion wurde aus jemenitischen Militärangehörigen gebildet, die zuvor Saleh treu ergeben waren, bevor er sich gegen seine eigene Fraktion wandte und 2017 getötet wurde. Die Fraktion bekämpft die von Saudi-Arabien unterstützte Regierung von Abdrabbuh Mansur Hadi, die derzeit die politische Kontrolle über den Jemen beansprucht und die international anerkannte Regierung des Jemen ist. Dies schürt die konfessionellen Spannungen, da die Anhänger der Hadi-Regierung größtenteils Sunniten sind, während die Houthis mehrheitlich Schiiten sind. Die Vereinigten Arabischen Emirate finanzieren eine dritte Gruppe von Separatisten aus dem Süden – eine Splittergruppe der Südbewegung, die seit 2007 aktiv versucht, sich vom Jemen abzuspalten . Die Gruppe hofft, die Grenzen von 1990 wiederherstellen zu können, als der zuvor getrennte Nord- und der Südjemen zu einem Land vereinigt wurden. Auch die Southern Movement ist überwiegend schiitisch. Diese Gruppen repräsentieren weitgehend die verschiedenen Bevölkerungsgruppen innerhalb der Grenzen des Jemen.

Darüber hinaus halten die Überreste von Al-Qaida auf der Arabischen Halbinsel (AQAP) weiterhin große Gebiete im Zentrum des Landes. AQAP ist einer der prominentesten Ableger von Al-Qaida und verantwortlich für die Angriffe auf Fort Hood, Little Rock, die USS Cole, den gescheiterten Bombenanschlag auf ein Flugzeug in Detroit sowie einen Gefängnisausbruch im Jemen. Die Gruppe versuchte 2011 eine Umbenennung in Ansar al-Scharia und begann, sich auf die Kontrolle von Gebieten im Jemen zu konzentrieren. Die Gruppe hat in den letzten Jahren vor allem als Miliz und Terrororganisation operiert, die es auf Huthi-Einrichtungen abgesehen hat. Ein ähnliches Ablegermodell wurde vom Islamischen Staat versucht, der jedoch weitgehend nicht Fuß fassen konnte. Die jüngste Berichterstattung über den Islamischen Staat im Jemen dreht sich um die Gefechte zwischen AQAP und dem IS.

Der Jemen ist als Schlachtfeld ein interessanter Mikrokosmos regionaler und globaler Mächte, die versuchen, ihre Macht zu projizieren und ihre Interessen zu manifestieren. Der jemenitische Bürgerkrieg steht im Zentrum des iranisch-saudischen Stellvertreterkampfes um die regionale Hegemonie. Die von den Huthis gehaltenen Gebiete sind Ziel der saudi-arabischen Operation "Decisive Storm", einer Luftangriffskampagne , bei der nach Angaben der Vereinten Nationen weiterhin Nichtkombattanten getötet werden. Der iranische Feldzug hat nach Angaben des US-Militärs Waffen eingeführt, die es den Huthis ermöglicht haben, die Schifffahrtsrouten in der Straße von Bab al-Mandeb zu blockieren. Während die Spannungen zwischen den Vereinigten Staaten und dem Iran zunehmen, hat der Iran die Möglichkeit , die Straße von Hormus über die Halbinsel zu kontrollieren, und hat mit einer Blockade gedroht , wenn er den Eindruck hat, dass die Vereinigten Staaten zu aggressiv vorgegangen sind. Recorded Future hat bereits 2015 über den Cyberkonflikt zwischen dem Iran und Saudi-Arabien im Jemen berichtet , als die Yemen Cyber Army als patriotische Hackergruppe auftrat, die saudische Regierungsbehörden angriff. Seitdem wird die Gruppe mit dem Iran in Verbindung gebracht.

Dieser regionale Konflikt fällt mit widersprüchlichen russischen und amerikanischen Interessen auf der Arabischen Halbinsel und den Seewegen der Region zusammen. Die Vereinigten Staaten haben auch eine aktive Kampagne geführt, um die Region von der Präsenz des Islamischen Staates (IS) und von Al-Qaida zu befreien, und haben Erfolg gegen den IS erzielt, aber auf Kosten des Todes von Zivilisten bei Luftangriffen und kostspieligen Spezialoperationen. Umgekehrt hat die Jamestown Foundation spekuliert, dass Russland private Militärunternehmen in den Jemen entsandt hat, um eine politische Lösung des Krieges zu überwachen . Die Carnegie Endowment geht davon aus, dass Russland mit dem Ziel beteiligt ist, seinen Einfluss auszuweiten und seine Macht im Roten Meer zu projizieren.

Auch China hat sein Interesse an der Stabilität der Halbinsel verstärkt und sich seit etwa 2017 mit der Hadi-Regierung und ihren von Saudi-Arabien unterstützten Kräften verbündet. Während China und die saudi-arabische Regierung bereits Verteidigungsbeziehungen unterhalten, würde eine Lösung des Konflikts im Jemen dazu beitragen, das Risiko für die chinesische Schifffahrt rund um die Meerenge von Bab al-Mandeb und die Umgebung zu verringern. Die Meerenge ist eine wichtige Transitroute für Chinas "Belt and Road"-Initiative – eine massive Reihe von Infrastrukturprojekten, die darauf abzielen, die nationale Macht Chinas zu projizieren – nach Saudi-Arabien und in die gesamte Region des Nahen Ostens.

Infrastruktur

Die Internetinfrastruktur im Jemen spiegelt die internationalen Mächte wider, die im Land im Spiel sind. Der anhaltende Konflikt hat die Zuweisung von Internetraum sowie die Möglichkeiten der Bürger, auf das Internet zuzugreifen, beeinträchtigt. Der National Exposure Index von Rapid7 ergab, dass jemenitische ASNs zwar 135.168 IP-Adressen zugewiesen haben, aber nur 17.934 Adressen, was auf eine geringe Nutzung hindeutet. Laut DomainTools gab es nur 1152 .ye Registrierte Domains (.ye wird von YemenNet kontrolliert). Menschen, die sich selbst als Jemen bezeichnen, haben 7.845 Domains registriert, von denen die beliebteste .com ist. Die viertbeliebteste TLD ist .ye. Der Jemen liegt weltweit auf Platz 50 bei der Bevölkerung, aber auf Platz 148 bei den Domainregistrierungen.

Mit dem Besitzerwechsel des Territoriums im Jemen in den letzten vier Jahren hat sich auch die Kontrolle über die Internetressourcen verändert. Als die Huthi-Truppen die Hauptstadt Sanaa eroberten, erlangten sie auch die Kontrolle über YemenNet – den größten Internetanbieter im Jemen. YemenNet ist anfällig für Ausfälle und wurde in der Vergangenheit sowohl durch Cyber- als auch durch physische Mittel gestört.

Unterseekabel

Es gibt vier Seekabel, die den Jemen an drei Landepunkten versorgen. Wie in der Abbildung unten zu sehen ist, hat das FALCON-Unterseekabel Landepunkte in Al-Ghaydah und Al-Hudaydah, und SEA-ME-WE 5 hat auch einen Landepunkt in Al-Hudaydah, während AAE-1 und Aden-Dschibuti Landepunkte in Aden haben.

Unter der Kontrolle der Houthis nutzt TeleYemen (und damit auch YemenNet) Unterseekabel für die Weiterleitung des Datenverkehrs, höchstwahrscheinlich um die Weiterleitung über die Glasfaserverbindungen von Saudi Telecom zu vermeiden. Derzeit arbeitet YemenNet mit Reliance Globalcom, Cogent Communications, Omantel und PCCW Global zusammen – allesamt Partner des Unterseekabels Asia Africa Europe-1 (AAE-1), dessen Landepunkt in Aden liegt. AdenNet hingegen nutzt in erster Linie die von Saudi Telecom bereitgestellten Glasfaserkabel über Land.

Zwei der drei U-Boot-Landeplätze im Jemen stehen derzeit unter der Kontrolle der Hadi-Regierung. Das dritte Gebiet in Al-Hudaydah steht derzeit unter der Kontrolle der Huthi-Rebellen, ist aber, wie das Bild unten zeigt, ein Gebiet, das die Hadi-Regierung aggressiv ins Visier genommen hat. Der Hafen in Al-Hudaydah ist von entscheidender Bedeutung für die Lieferung von Nahrungsmitteln und medizinischen Hilfsgütern in ein Land, das unter einer Hungersnot und einem Cholera-Ausbruch leidet. Wenn die Streitkräfte der Hadi-Regierung die Kontrolle über den Hafen übernehmen, könnten sie den Internetzugang zwischen der Außenwelt und den YemenNet-Abonnenten unterbrechen. Obwohl die Lage nicht so kritisch ist wie die humanitäre Krise, die derzeit im Jemen herrscht, würde der fehlende Internetzugang es schwieriger machen, zu verstehen, was im Land vor sich geht.

Zugang und Zensur

Im Jahr 2015 berichtete das Citizen Lab, dass die jemenitische Regierung Inhalte für jemenitische Bürger im YemenNet zensierte, dem einzigen nationalen ISP mit Kontrolle über den .ye-Namensraum. Ein Großteil des in YemenNet verwendeten IP- und Domain-Speicherplatzes wird über zwei Caching-Server gefiltert, cache0.yemen.net[.]Ihr und cache1.yemen.net[.]Ihr. Dies kann die Überwachung von Inhalten oder das Verbot des Datenverkehrs ermöglichen. Recorded Future fand Überreste dieser Bemühungen über Shodan, mit einem einzigen NetSweeper-Gerät , einem Tool zur Filterung von Webinhalten, das auf der IP 82.114.160.98 installiert war. Die IP verwendete ein selbstsigniertes SSL-Zertifikat, aber Recorded Future konnte keinen Datenverkehr identifizieren, der zu oder von dieser IP-Adresse ging. Es wurden keine anderen ähnlichen Zensur- oder Zugangskontrollgeräte über Shodan oder Censys gefunden.

Geografische Aufschlüsselung des Internetzugangs und der Gebietskontrolle. Quelle: Erstellt aus Al Jazeera, Reuters, World Energy Atlas und Critical Threats (November 2018).

Nach der Einnahme der jemenitischen Hauptstadt Sanaa im September 2014 erlangten die Houthi-Rebellen die Kontrolle über YemenNet, TeleYemen und alle anderen in der Stadt ansässigen Telekommunikationsanbieter. Im Juni 2018 übernahmen sie außerdem die Kontrolle über den dominierenden Mobilfunkanbieter MTN Yemen. Somit haben die Houthi-Rebellen nun Zugriff auf dieselben Zugriffskontroll- und Zensurinstrumente, die sie zuvor zur Störung oder Überwachung der Internetaktivität eingesetzt haben. Diese kann je nach der physischen Sicherheit der Betreiber der Boxen online oder offline erfolgen. Berichten von Al Arabiya zufolge haben die Houthis diese genutzt, um den Zugang zu WhatsApp, Facebook, Twitter und Telegram sowie zu Domänen zu blockieren, die über Truppenbewegungen der Houthis berichteten. Es ist wahrscheinlich, dass sie diese Kontrollen zu diesem Zweck genutzt haben.

Zeitleiste der jemenitischen Internetaktivität und bedeutender Luftangriffe.

Die Huthis haben auch Schritte unternommen, um den Internetzugang vollständig über ihre ISP-Kontrolle zu sperren. Am 7. Dezember 2017 leitete das von den Huthis kontrollierte Ministerium für Kommunikation und Informationstechnologie eine 30-minütige Abschaltung des Internets ein. Zuvor hatten die Huthis den Internetzugang in der Hafenstadt Aden abgeschaltet . Zahlreiche Berichte ergaben , dass die Huthis über 80 Prozent der Glasfaserleitungen von YemenNet durchtrennten und damit einen brutaleren Ansatz verfolgten, um Informationen im ganzen Land zu kontrollieren.

IP-Bestände großer Internetdienstanbieter.

Die Hadi-Regierung war gezwungen, aus der Hauptstadt zu fliehen und richtete eine Operationsbasis in Aden ein. Anstatt Geheimnisse oder Geld an das von den Huthis kontrollierte YemenNet zu liefern oder der Gnade der Huthi-Regierung ausgeliefert zu sein, die den Zugang wiederholt unterband, gründete das Hadi-Regime im Juni 2018 AdenNet, einen neuen Backbone-Anbieter. Der neue ISP wurde von den Vereinigten Arabischen Emiraten (VAE) finanziert, verwendet einen einzigen Flow von Saudi Telecom (AS39386) und wurde mit Routern des chinesischen Technologieunternehmens Huawei erstellt. Huawei ist ein Unternehmen mit extrem engen Verbindungen zur chinesischen Regierung und zum Militär und wurde in den Vereinigten Staaten und Australien aufgrund von Spionagebedenken von der Regierung ausgeschlossen.

Ein Großteil der Infrastruktur von AdenNet befindet sich außerhalb des Jemen. Die AdenNet-Website www.adennet4g[.]net wurde am 20. Juni 2018 über GoDaddy registriert und wird bei Bluehost gehostet, ebenso wie der AdenNet-Mailserver (mail.adennet4g.net). Beide Hosts haben dieselbe IP-Adresse, 162.241.226.169, die laut einer Studie von Recorded Future von 886 anderen Domänen gemeinsam genutzt wird. Kundenservice-Funktionen, wie das Self-Service-Portal ssp.adennet4g[.]net, Nutzen Sie den zugewiesenen AdenNet-IP-Bereich.

Die Nutzung des .net gTLD für AdenNet und externe Infrastruktur könnte die Zurückhaltung des Hadi-Regimes widerspiegeln, von den Houthis kontrollierte Ressourcen zu nutzen. Es könnte auch ein Hinweis auf die Herausforderungen sein, die der Aufbau einer neuen Internet-Infrastruktur mit sich bringt, insbesondere mitten in einem Kriegsgebiet. Frühere Berichte deuteten darauf hin, dass Präsident Hadi versucht, die Kontrolle über die .ye zurückzugewinnen ccTLD sowie die ASNs AS30873 und AS12486. Eine Überprüfung der Dokumente bei ICANN, IANA und RIPE zeigt, dass zum Zeitpunkt dieses Berichts noch kein formeller Prozess eingeleitet wurde. Zudem ist die Wahrscheinlichkeit sehr gering, dass die Internet-Verwaltung mitten in einem Bürgerkrieg die Kontrolle über diese Ressourcen überträgt.

Basisdaten für Internetaktivitäten

Luftangriffe und Nahrungsmittelknappheit während des jemenitischen Bürgerkriegs haben dazu geführt, dass 18 Millionen Menschen auf humanitäre Hilfe angewiesen sind und zu einer Nahrungsmittelnotlage geführt haben. Die Internetaktivitäten des Landes haben während des Krieges jedoch nicht abgenommen. Laut dem CIA World Factbook ist die Zahl der Internetnutzer von 19,1 Prozent der Bevölkerung vor dem Krieg im Jahr 2014 auf 24,6 Prozent im Jahr 2016 gestiegen. Internet World Stats behauptet auch, dass die Internetnutzer in den letzten zwei Jahren ungefähr gleich geblieben sind und 2018 bei 24,3 Prozent lagen. Darüber hinaus behaupten mehrere Quellen, dass die Mobilfunkdurchdringung seit vor dem Bürgerkrieg des Landes bei über 50 Prozent lag und in den letzten vier Jahren entweder ungefähr gleich geblieben oder gestiegen ist.

Es gibt Belege dafür, dass im Jemen fünf unterschiedliche Typen von Nutzern Internetdienste nutzen. Die Houthi-Rebellen nutzten ihre Kontrolle über YemenNet und die .ye Domänenbereich nach der Einnahme von Sana'a, und Regierungswebsites spiegeln die aktuelle Houthi-Regierung in der Hauptstadt wider. So findet sich auf der Website des jemenitischen Außenministeriums eine aktuelle Liste des derzeitigen von den Huthi geführten Ministeriums. Darüber hinaus wird die Regierung Hadi mit der Schaffung von AdenNet Internetdienste wahrscheinlich häufiger nutzen.

Screenshot der Website des von den Huthi geführten jemenitischen Außenministeriums unter der Domäne mofa.gov[.]ye.

Auch die Universitäten haben innerhalb des Landes immer noch Zugang zum Internet, und Universitätsstudenten nutzen immer noch Internetdienste, um zu recherchieren, miteinander zu kommunizieren und im Internet zu surfen. Dies wird jedoch zu einer immer kleineren Verkehrsquelle, da die Universitäten nach und nach Ziel von Luftangriffen und Bombenangriffen sowohl von Huthi- als auch von Hadi-geführten Fraktionen werden, was zu einem Rückgang der Einschreibungen an den Universitäten führt. Darüber hinaus werden die Universitäten des Landes zunehmend zu Haftanstalten umfunktioniert, was wahrscheinlich ein weiterer Grund für den Rückgang der Internetnutzung an den Universitäten ist.

Eine überproportional große Zahl von Privat- und Geschäftsanwendern im Jemen hat die DNS-Rekursion auf ihren Routern aktiviert, wodurch diese Router als Cache-DNS-Server für die Benutzer hinter dem Router fungieren können. Laut Shodan gibt es mehr als 12.000 CPE-Router (Customer Premise Equipment ) mit aktivierter DNS-Rekursion. Möglicherweise geschieht dies, um die drakonische Zensur der Houthis zu umgehen. Wie bereits erwähnt, verwenden sie angeblich Netsweeper, ein Tool, das eine Kombination aus Web- und DNS-Filterung nutzt, um als anstößig erachtete Inhalte zu blockieren.

Zum Vergleich: Die Länder Mosambik und Ghana, die eine ähnliche Bevölkerungsgröße wie der Jemen aufweisen, melden in Shodan nur etwa 670 bzw. 1.200 offene DNS-Server.

Aufschlüsselung der jemenitischen Verkehrsziele zu OpenVPN-Endpunkten gemäß Metadaten von Drittanbietern.

Schließlich haben mehrere Quellen angedeutet, dass jemenitische Bürger entweder den Tor-Browser oder VPNs verwendet haben, um die jemenitischen Internetabschaltungen und Zensur zu umgehen. Diese Nutzergruppe würde wahrscheinlich auf Quellen zugreifen, die weder von den von den Huthi angeführten Rebellen (die am 7. Dezember 2017 das Internet im ganzen Land vorübergehend abgeschaltet haben) noch von der Hadi-Regierung, die in der Vergangenheit verschiedene soziale Medien blockiert hat, sanktioniert wurden. Recorded Future fand im Oktober 2018 Beweise für die Nutzung von VPNs und Tor aus dem Jemen. Kleine Mengen an Datenverkehr von mehreren AdenNet-IPs versuchten, auf nicht-jemenitische IPs zuzugreifen, die die offenen Ports 9001 (Tor), 1194 (OpenVPN) oder 110 (IPSEC-VPN-Tunneling) hatten.

Aufschlüsselung der jemenitischen Datenverkehrsziele zu Tor-Endpunkten gemäß Metadaten von Drittanbietern.

Quantifizierung der Internetnutzung im von Hadi kontrollierten Jemen

AdenNet ist viel kleiner als das jetzt von den Huthis kontrollierte YemenNet. Um die Arten von Datenverkehr zu bewerten, die vom ISP kamen, führte Recorded Future vom 1. Oktober 2018 bis zum 6. November 2018 eine Metadatenanalyse durch. Recorded Future entschied sich für die Überwachung von AdenNet, weil es erst vor kurzem gegründet wurde und weil es unter der Kontrolle der Hadi-Regierung steht, was die Analyse dieses ISPs nützlich macht, um einen Einblick in die Geschehnisse im von Hadi kontrollierten Jemen zu erhalten. Obwohl die meisten Großstädte im Jemen seit der Gründung von AdenNet im Juni 2018 von Bombenangriffen getroffen wurden, scheinen sowohl YemenNet als auch AdenNet ohne große Probleme zu funktionieren, basierend auf dem Datenverkehr zwischen den beiden ISPs und den öffentlich bekannten YemenNet-Hosts online.

Recorded Future-Karte der Luftangriffe oder Bombenangriffe im Jemen seit Juni 2018.

Top-Ports und -Protokolle: Surfen im Internet und VPNs

Die meisten Aktivitäten, die wir bei unserer Analyse des jemenitischen Internets beobachtet haben, betrafen – wenig überraschend – das Surfen im Internet über HTTP oder HTTPS. Darüber hinaus haben wir auch sporadische DNS-, POP3-, SMTP- und IMAP-Aktivitäten festgestellt. Wir haben einige IPSEC-Tunneling-Aktivitäten unter Verwendung des ESP-Protokolls (Encapsulating Security Payload) beobachtet, was auf die Verwendung einer VPN-Anwendung hinweist. Dies könnte ein weiterer Beweis dafür sein, dass jemenitische Benutzer versuchen, die Internetkontrollen der jeweiligen Regierungen zu umgehen, um online zu gehen. Zu den weiteren Aktivitäten gehörte die Verwendung der Internet-Verwaltungsprotokolle TELNET, SSH und des Network News Transfer Protocol (NNTP), eines der ältesten Protokolle des Internets, das die Übertragung von Nachrichtenartikeln zwischen Servern der USENET-Newsgroup-Welt im Internet ermöglicht. Schließlich wurden auch Hinweise auf BitTorrent- und Online-Gaming-Aktivitäten sowie die mögliche Verwendung von XMPP-Messaging-Anwendungen wie Jabber gefunden.

Da der Großteil des von uns beobachteten Datenverkehrs auf Webbrowser-Aktivitäten zurückzuführen war, ist es keine Überraschung, dass der Großteil des von AdenNet-IPs stammenden Datenverkehrs im Recorded Future-Datensatz auf große Hosting-Sites und CDN-Anbieter (Content Distribution Network) wie Highwinds, Amazon und Akamai gerichtet war. Überraschend ist die Verteilung zwischen westlichen und chinesischen Hosts. Obwohl die Hosting-Dienste von Alibaba und Tencent nicht so häufig genutzt werden wie ihre westlichen Pendants, machen sie dennoch einen beträchtlichen Anteil des jemenitischen Internetverkehrs aus.

Verdächtige Internetaktivitäten

Schwachstellen in der Internet-Infrastruktur

Recorded Future hat mehrere Fälle von verdächtigen Aktivitäten innerhalb und von der jemenitischen Internetinfrastruktur gefunden. Zum einen scheint AdenNet nicht das erste Mal zu sein, dass der Jemen ein chinesisches Unternehmen mit seiner Backbone-Internetinfrastruktur betraut. Die Shodan-Integration von Recorded Future zeigt, dass die IP für einen der wichtigsten Nameserver im YemenNet, ns1.yemen.net[.]Ihr Enthält ein "tenda-backdoor"-Modul. Während dieses Modul in Shodan nicht mehr durchsuchbar ist, bezieht sich das tenda-backdoor-Modul auf eine Firmware-Backdoor , die die Schwachstelle CVE-2017-16923 ausnutzt, um die Ausführung von Routern des chinesischen Netzwerkherstellers Tenda aus der Ferne durchzuführen.

Es ist ungewiss, ob es sich dabei um eine absichtliche oder versehentliche Hintertür des Anbieters handelte. Wenn der Nameserver mit einer anderen Infrastruktur innerhalb des YemenNet verbunden ist, was wahrscheinlich der Fall ist, könnten sowohl staatliche als auch nichtstaatliche Angreifer diese Hintertür nutzen, um den ISP zu infiltrieren.

Screenshot der Recorded Future Shodan-Erweiterung für ns1.yemen.net[.]ye.

Darüber hinaus sind die von den Huthi kontrollierten Server 82.114.162.66 und 82.114.162.10, auf denen bis Juni 2018 über 500 jemenitische Regierungs-, Bildungs- und Unternehmenswebsites gehostet waren, voller alter Schwachstellen wie CVE-2003-1582, CVE-2009-2521, CVE-2008-1446 und anderen älteren Problemen, die Angreifern, wenn sie nicht gepatcht werden, einen einfachen Zugriff auf die besagten Systeme ermöglichen könnten. Auch wenn viele der ursprünglichen Websites nicht mehr auf diesen Servern gehostet werden, ist es durchaus möglich, dass alte Systemprotokolle und Daten noch vorhanden sind.

Screenshot der PassiveTotal-Domänenergebnisse für die IP 82.114.162[.]66 an bestimmten Tagen im Jahr 2018. Quelle: PassiveTotal.

Befehls- und Kontrollserver

Die Sammlungen von Recorded Future identifizierten in Verbindung mit Shodan eine Reihe grundlegender Command-and-Control-Server, die in jemenitischen Gebieten offengelegt wurden und auf denen Remote-Access-Trojaner ausgeführt werden. Dazu gehörten die Trojaner Bozok, DarkComet und NetBus .

Malware-Beispiele

Recorded Future stellte einen deutlichen Anstieg der Anzahl der aus dem Jemen an VirusTotal übermittelten Software-Samples fest, von 13 Samples zwischen 2015 und 2017 auf insgesamt 164 Samples im Jahr 2018. Die Ursache ist weiterhin unklar. Dies kann auf die Einführung von AdenNet zurückzuführen sein, da dadurch mehr Bürgern und Einwohnern des Jemen ein verlässlicherer Internetzugang zur Verfügung steht. Es kann jedoch auch an der gestiegenen Bedrohungsaktivität liegen.

Ungefähr die Hälfte dieser Beispiele war bösartig und bei der überwiegenden Mehrheit handelte es sich um Android-Anwendungen. Anhand der 84 Android-Samples, die seit 2015 auf VirusTotal hochgeladen wurden, konnte Recorded Future mithilfe von Joe Security Varianten weit verbreiteter Malware-Familien identifizieren, darunter AhMyth, DroidJack, Hiddad und Dianjin, sowie mehrere gefälschte Altcoin-Wallets, gefälschte WhatsApp-Anwendungen und Spyware, die sich als Antiviren-, Videowiedergabe- und VPN-Anwendungen ausgab. Darüber hinaus stellte Recorded Future mithilfe der dynamischen Analyse von Joe Security und der Malware-Detonation von Recorded Future fest, dass 50 Prozent der aus den Android-Beispielen erhaltenen Adware sowohl chinesische als auch westliche Werbeseiten erreichte. Zwei Drittel der gefälschten Antiviren-Spyware-Apps sowie einige gefundene AhMyth-Beispiele waren mit chinesischen IPs verbunden.

Bei den meisten Anwendungen im VirusTotal-Datensatz scheint es sich um gefälschte Anwendungen auf niedriger Ebene zu handeln, die Adware bereitstellen. Einige Spyware aus dem Datensatz wurde jedoch mit JiaGuBao, einem kommerziellen Packer aus China, gepackt. Darüber hinaus greift die gefälschte Antiviren-Spyware, die sich an chinesische IPs wendet, auf Informationen von Android-Telefonen zu, einschließlich alter E-Mails, SMS- und Anrufprotokolle sowie des Browserverlaufs. Es verwendet wahrscheinlich Barrierefreiheitsdienste, um andere installierte Anwendungen zu steuern, und hat die Möglichkeit, die Wi-Fi-Konfiguration zu ändern, Dienste zu starten, während der Telefonbildschirm ausgeschaltet ist, Fotos aufzunehmen und andere Pakete zu löschen. Es besteht kein Zweifel daran, dass China am Ausgang des Bürgerkriegs im Jemen interessiert ist, und zwar sowohl aus wirtschaftlicher als auch aus diplomatischer Sicht. Obwohl einige der Malware, die chinesische IPs erreicht, mit möglichen chinesischen Überwachungsinteressen übereinstimmen, konnte Recorded Future nicht feststellen, ob die erhaltene Malware aus einer chinesischen Spionagekampagne stammt. Darüber hinaus deckte Recorded Future mehrere chinesische mobile Apps auf, die umfangreiche Berechtigungen für Android-Telefone anforderten, die von Personen im Jemen verwendet werden. Da diese Anwendungen derzeit nur in chinesischen App-Stores verfügbar sind, ist es unwahrscheinlich, dass die Apps von gebürtigen Jemeniten verwendet wurden, sondern von im Jemen ansässigen chinesischen Staatsangehörigen, die wahrscheinlich zum Kapazitätsaufbau im Jemen stationiert sind. Chinesische Unternehmen, darunter Huawei, haben in der Vergangenheit beim Bau von Infrastrukturprojekten chinesische Arbeiter ins Ausland geschickt. Chinesische Staatsangehörige würden wahrscheinlich auf sie zugeschnittene Anwendungen herunterladen, während sie sich im Jemen aufhalten.

Coin-Mining-Aktivität

Recorded Future fand 973 Hosts im Jemen, die den Kryptowährungs-Mining-Dienst Coinhive betreiben. Coinhive, ein JavaScript-basierter Monero-Miner, wurde Anfang 2017 veröffentlicht, zwei Jahre nachdem die Huthi-Rebellen die Kontrolle über YemenNet übernommen hatten. Es ist in der Regel in Websites eingebettet und nutzt die CPU oder Rechenleistung eines Benutzers, um Kryptowährung zum Nutzen des Eigentümers der Website zu schürfen. Dadurch wird häufig der Browser eines Benutzers gesperrt und der Akku des Geräts des Benutzers entlädt , solange er auf der Website surft. Alle 973 Hosts sind MikroTik-Router, die zum YemenNet ASN AS30873 gehören, und 213 der Hosts teilen sich die gleiche Domain, dynamic.yemennet[.]Ihr.

Im Oktober 2018 veröffentlichte Avast einen Bericht über mehrere Cryptojacking-Kampagnen, bei denen Angreifer einen weit verbreiteten Exploit¹ nutzten, der CVE-2018-14847 ausnutzte, und den erforderlichen JavaScript-Code einschleusten, um Coinhive auf den kompromittierten Routern auszuführen. Recorded Future fand Monero-Miner, die die von Avast erwähnten einzigartigen SSH- und Telnet-Ports nutzten, und stellte fest, dass etwa 427 der 973 Router an früheren, stärker zielgerichteten Kampagnen beteiligt waren, die bereits in Avasts Bericht erwähnt wurden. Die anderen 546 Router haben bislang keinerlei Verbindung zu früheren Kampagnen. Ein Drittel der vermissten Gastgeber (189) befindet sich in Sanaa, der von den Huthi gehaltenen Hauptstadt. Von Coinhive-Administratorkonten generierte „eindeutige“ Site-Schlüssel wurden für mehrere Hosts wiederverwendet, was darauf schließen lässt, dass einige wenige Konten die große Mehrheit dieser Hosts kontrollieren.

Darüber hinaus sind alle infizierten Router Teil des YemenNet-Netzwerks, während identische MikroTik-Router im Besitz von TeleYemen nicht infiziert wurden. Wir konnten nicht feststellen, wer für die Infektion dieser YemenNet-Router verantwortlich war oder warum die Router von TeleYemen ebenfalls nicht betroffen waren. Die verfügbaren Daten führen uns jedoch zu drei möglichen Szenarien:

1. Die TeleYemen-Hosts könnten Teil einer anderen kriminellen Coinhive-Kampagne sein, da es eine teilweise Überschneidung der Coinhive-Schlüssel mit zuvor entdeckten, nicht-jemenitischen Hosts gibt, die im Avast-Bericht erwähnt werden.
2. Parteien, die ein Interesse daran haben, die Kapazität der Internetdienste der Huthi während Luftangriffen oder anderen konventionellen Kämpfen zu beeinträchtigen, könnten den verfügbaren Coinhive-Exploit nutzen, um die Rechner von YemenNet zu verlangsamen, was zu Einschränkungen der Regierungskommunikation und der zivilen Onlinedienste führen und Hosts sogar offline schalten würde.
3. Die von den Huthi geführte Regierung könnte versuchen, mithilfe ihrer eigenen Hosts Altwährungen für das Regime zu generieren. Zusätzliche Einnahmequellen in Zeiten der Hungersnot und Wirtschaftskrise würden die Bemühungen der Huthi-geführten Regierung unterstützen, sich im Inland zu legitimieren. Dazu würden sie den Huthi-Regionen, in denen die Hungersnot am schlimmsten ist, Hilfe leisten und zusätzliche konventionelle Waffen kaufen, um sie gegen die von Hadi geführte Regierung einzusetzen.

Unabhängig von den beteiligten Akteuren gehen wir davon aus, dass die aktuelle Coin-Mining-Kampagne die von den Huthis gehaltenen Internetressourcen erschöpft. Der Monero-Mining-Algorithmus ist speziell so konzipiert, dass gewöhnliche Computer die Kryptowährung genauso einfach generieren können wie Computer mit maßgeschneiderten Mining-Chips (ASICs). Dies ist das Gegenteil beim Bitcoin-Mining, bei dem die Mining-Leistung von ASICs Standard-PCs unwirksam macht. Recorded Future war nicht in der Lage zu bestimmen, wie viel Monero aus diesen Bemühungen generiert wurde.

Erwartete Cyber-Targeting-Profile

Recorded Future ging davon aus, dass die Hauptkriegsparteien im Jemen-Konflikt jeweils bestimmte Zielprofile erstellen würden. In diesem Abschnitt werden die erwartete Aktivität sowie etwaige Unterschiede oder fehlende Daten zu diesen Parteien untersucht.

Oberster Politischer Rat der Huthi

Die Tatsache, dass die Huthis eine große Menge an Internetressourcen im Jemen kontrollieren, vom Iran unterstützt werden und de facto die Kontrolle über das Land ausüben, verärgert die saudi-arabische Regierung weiterhin. Das macht sie wahrscheinlich zum Ziel saudi-arabischer Überwachung. Recorded Future geht davon aus, dass diese Überwachung in erster Linie dazu dienen wird, die Absichten der Huthis und Schlachtpläne für Scharmützel im Jemen zu identifizieren, und dass sie auf Router, traditionelle Hosts und Android-Mobilgeräte abzielen wird. Das Citizen Lab brachte die Nutzung der Pegasus-Spionagetools der NSO Group durch die Saudis in Verbindung, um iOS-Geräte ins Visier zu nehmen, was die relative Absicht des Königreichs zeigt, die Entwicklung seiner Malware auszulagern.

Lookout fand heraus, dass die Spyware der NSO Group für Android-Geräte, Chrysaor, Message Queue Telemetry Transport (MQTT) für die Kommunikation verwendet. Das Protokoll verwendet den TCP/IP-Port 1883 und den Port 8883, wenn der Datenverkehr über SSL verschlüsselt wird. Dieses Protokoll wird auch von der gängigen Social-Media-Plattform MeetMe verwendet und wird häufig für Verbindungen an entfernten Standorten verwendet, die nicht immer verfügbar sind. Trotz der Kontrolle von YemenNet durch die Huthi konnte Recorded Future keine Infektionen mit der herkömmlichen Chrysaor-Konfiguration in YemenNet oder in einer seiner Sammlungen identifizieren.

Hadi-Regierung

Die Hadi-Regierung wird direkt von Saudi-Arabien unterstützt , versucht, den sunnitischen und saudischen Einfluss in ihrem Nachbarland zu stärken, und ist direkter Kämpfer mit den vom Iran unterstützten Huthi-Kräften. Recorded Future geht davon aus, dass es aufgrund der Zusammenarbeit der Hadi-Regierung mit China eine gewisse chinesische Überwachung der jemenitischen Aktivitäten geben wird, und sei es auch nur als eine Art der Überwachung ihrer Investitionen. Darüber hinaus würde Recorded Future damit rechnen, dass iranische mobile Überwachungs-Malware gegen diese Kräfte eingesetzt wird, die laut CheckPoint gegen iranische Dissidenten und potenzielle Sympathisanten des Islamischen Staates eingesetzt wird.

Südliche Sezessionisten

Die Südbewegung, die offiziell als Südübergangsrat (STC) bekannt ist, wird weitgehend von den Vereinigten Arabischen Emiraten unterstützt, befindet sich aber in einer schwierigen Ausrichtung mit der saudischen Koalition, die oft auf die Probe gestellt und zerbrochen wurde. Im Oktober 2018 riefen die STC-Truppen zu einem Aufstand in Aden auf, was in direktem Widerspruch zur Kontrolle der Hadi-Regierung über die Stadt stand. Die Aktivität provozierte weitere UN-Aufrufe zum Frieden, so dass die Gruppe mehr internationale Anerkennung für ihr Ziel eines autonomen Südjemen erhielt. Aufgrund der Zusammenarbeit und des allgemeinen Bündnisses der Regierungen der VAE und Saudi-Arabiens geht Recorded Future nicht davon aus, dass die STC-Truppen von Saudi-Arabien ins Visier genommen werden. Auch wenn sich der STC in einem direkten Konflikt mit den Huthis befindet, da sie nicht über anhaltende Internetbestände oder definierte Mobilfunkbereiche verfügen, rechnet Recorded Future nicht mit einem besonderen Angriff iranischer Malware auf den STC.

Al-Qaida auf der Arabischen Halbinsel

Der Al-Qaida-Ableger im Jemen befindet sich überraschenderweise in einem eigenartigen Zielszenario. Die Gruppe wird nach Angaben der Carnegie Endowment weitgehend von der von Saudi-Arabien geführten Koalition unterstützt, die das gemeinsame Ziel hat, die Huthis zu bekämpfen. Die Saudis unterzeichneten sogar einen Nichtangriffspakt mit den Extremisten. Dies steht im Widerspruch zur Unterstützung der saudi-arabischen Interessen durch die USA, da die Vereinigten Staaten fast ausschließlich AQAP-Truppen im Jemen ins Visier nehmen. Die Iraner sind wahrscheinlich gegen die Angriffe der mit Saudi-Arabien verbündeten Extremisten auf die Huthi-Kräfte .

Kaspersky fand das Slingshot-Framework, das von 2012 bis 2018 auf einzelne Router im Jemen und anderen Ländern abzielte. Slingshot soll vom US-Militär eingesetzt worden sein, um Mitglieder des Islamischen Staates und von Al-Qaida ins Visier zu nehmen, vielleicht der bekannteste Fall von Cyberangriff, der zur Überwachung von Terroristen eingesetzt wird. Recorded Future konnte keine dieser Aktivitäten identifizieren.

Ausblick

Trotz der anhaltenden Luftangriffe, der bewaffneten Gefechte zwischen den jemenitischen Fraktionen und der allgemeinen Verschlechterung der jemenitischen Infrastruktur und der öffentlichen Gesundheit könnte sich der Internetzugang im Jemen als widerstandsfähig erweisen. Die Einführung von AdenNet zur Schaffung eines dualen Rückgrats im Jemen hat einen zusätzlichen Netzwerkzugangspunkt für Tausende von Bürgern geschaffen, deren Internetzugang nach der Eroberung von Sanaa durch die Huthis gesperrt wurde. Schwachstellen innerhalb von YemenNet können jedoch zu Spionage oder sogar zerstörerischen Kampagnen innerhalb der Infrastruktur führen, die den Internetzugang in den von den Huthis kontrollierten Gebieten beschädigen.

Recorded Future geht mit mittlerer Zuversicht davon aus, dass die Houthi-Regierung in Sanaa angesichts der zunehmenden Inflation im Land weiterhin versuchen wird, alternative Währungen zu schaffen, um ihre Hilfs- und Militärbemühungen zu unterstützen. Schadsoftware im Land wird weiterhin ein ständiger Faktor sein, insbesondere bei neuen Formen des Internetzugangs. Ebenso werden einige jemenitische Bürger wahrscheinlich weiterhin die staatlichen Internetkontrollen umgehen, da sie den Wunsch beider Regierungen, den Internetzugang in der Vergangenheit zu kontrollieren, verstehen. Leider wird der Zugang zu Informationen oder Cyber-Mitteln den Jemen wahrscheinlich nicht vor einer Hungersnot, einem Cholera -Ausbruch oder den Gräueltaten eines anhaltenden Bürgerkriegs bewahren.

¹https://www[.]github[.]com/BasuCert/WinboxPoC