Grundlegende Dimensionen des Bürgerkriegs im Jemen: Kontrolle über das Internet
Klicken Sie hier , um die komplette Analyse als PDF herunterzuladen.
Hinweis zum Umfang: Quellen dieser Untersuchung sind die Recorded Future-Plattform, die Recorded Future-Malware-Detonation, die Erkenntnisse und Methoden von Citizen Lab, Shodan, VirusTotal, Censys, ReversingLabs sowie Metadaten von Drittanbietern. Recorded Future möchte Rapid7 und ihrem National Exposure Index für die Hilfe bei der Quantifizierung der aktuellen IP-Landschaft im Jemen danken. Recorded Future möchte sich außerdem bei Joe Security für die Verwendung ihres Produkts zur Analyse von Malware-Beispielen auf Android-Geräten bedanken.
Executive Summary
Mitten im anhaltenden Bürgerkrieg im Jemen führen lokale und internationale Akteure mittels der Kontrolle des Internets und anderer Cyber-Mittel einen Sekundärkrieg. Die Insikt Group von Recorded Future geht davon aus, dass sich die Dynamik des Bürgerkriegs im Jemen online in einem Kampf um den Zugang der Jemeniten zum Internet sowie um dessen Nutzung und Kontrolle manifestiert. Recorded Future stellte sowohl Zensurkontrollen als auch Datenverkehr fest, der versuchte, diese Kontrollen im Jemen zu unterlaufen, sowie Spyware-Aktivitäten. Mit diesem Bericht soll ein Ausgangsbericht über die Internetaktivität, -nutzung und den Internetzugriff im Jemen erstellt werden.
Wichtige Urteile
Seit der Einnahme der jemenitischen Hauptstadt Sana‘a im September 2014 kontrollieren die Houthi-Rebellen den wichtigsten Internetdienstanbieter YemenNet und verfügen über dieselben Zugangskontrollen und Zensurinstrumente, die sie schon zuvor eingesetzt hatten, um die Internetaktivität zu stören, zu beeinträchtigen oder zu überwachen.
Recorded Future geht mit mittlerer Sicherheit davon aus, dass die Houthi-Rebellen in Sana'a die riesige IP-Infrastruktur von YemenNet ausnutzen, um Coinhive-Mining-Dienste zu hosten und so Einnahmen zu erzielen.
Während offizielle Regierungsseiten auf YemenNet und der .ye gehostet werden Der Domänenbereich wurde geändert, um die Houthi-Regierung in Sana'a und nicht die Hadi-Regierung in Aden widerzuspiegeln. Recorded Future hat einige Schwachstellen im Hauptnamenserver von YemenNet und mehreren Servern festgestellt, auf denen bis vor kurzem über 500 offizielle .ye-Domänen gehostet wurden. Domänen.
Die Hadi-Regierung, die mittlerweile in Aden statt in Sana'a ansässig ist, hat im Juni 2018 einen neuen ISP namens AdenNet eingerichtet. Wir sind davon überzeugt, dass dies zu einer neuen Internet-Resilienz im Land führen könnte, da die Zahl der Internet- und Mobilfunkabonnements weiter steigt.
Ein kleiner Prozentsatz der Internetnutzer im Jemen verwendet entweder VPNs, Tor oder Router mit DNS-Rekursion, um staatliche Kontrollen zu umgehen.
Verdächtige Internetaktivitäten aus dem Jemen deuten auf ein geringes Maß an Adware und Spyware hin. Die Informationen über die dahinter stehenden Akteure sind jedoch nicht schlüssig.
Bedeutende internationale Akteure, darunter die USA, Russland und China, nutzen Schadsoftware, militärische Aktivitäten, politischen Einfluss und Investitionen, um ihre Interessen im saudi-iranischen Regionalkonflikt um die Vorherrschaft im Jemen durchzusetzen.
Grafische Darstellung dieser Analyse.
Hintergrund
Der Jemen ist seit 2015 in einen anhaltenden Bürgerkrieg verwickelt. Der Konflikt wird durch konfessionelle, religiöse und politische Spaltungen angeheizt, da der Jemen im Vergleich zum Rest der Arabischen Halbinsel relativ multikulturell ist. Die Jemeniten haben mehrere Bürgerkriege durchlebt, darunter einen Konflikt im Nordjemen von 1962 bis 1970 und einen blutigen Krieg im Jahr 1994, nachdem sie sich der Vereinigung des Landes im Jahr 1990 widersetzt hatten. Trotz aller internen Konflikte beschrieb Ali Abdullah Saleh, ein ehemaliger Präsident des Jemen, die Regierung des Landes als einen „Tanz auf den Köpfen von Schlangen“.
Der aktuelle Bürgerkrieg geht auf eine Reihe blutiger Proteste zurück, die durch den Arabischen Frühling ausgelöst wurden und Präsident Ali Abdullah Saleh 2011 zum Rücktritt zwangen . Dies brachte den damals an der Macht befindlichen Vizepräsidenten Abdrabbuh Mansur Hadi in eine schwierige Lage und erhielt den Auftrag , eine einheitliche Regierung im Jemen zu bilden. Hadi gelang es letztlich nicht, das Land zu vereinen, und ließ es weitgehend ohne Regierung zurück. Der Mangel an Kontrolle führte zu einem Machtvakuum , das das Anwachsen rebellischer Gruppierungen, konkurrierender, vom Ausland unterstützter Regierungen und das schwelende Problem des Extremismus ermöglichte.
Die schiitischen Zaidi-Huthis werden weitgehend als die aufständische Fraktion angesehen und werden vom iranischen Regime unterstützt und versorgt . Die Fraktion wurde aus Mitgliedern des jemenitischen Militärs gebildet, die zuvor Saleh treu ergeben waren, bevor er sich gegen seine eigene Fraktion wandte und daraufhin im Jahr 2017 getötet wurde. Die Fraktion bekämpft die von Saudi-Arabien unterstützte Regierung von Abdrabbuh Mansur Hadi, die gegenwärtig die politische Kontrolle über den Jemen beansprucht und die international anerkannte Regierung des Jemen ist. Dies schürt die konfessionellen Spannungen, da die Anhänger der Hadi-Regierung größtenteils Sunniten sind, während die Huthi mehrheitlich Schiiten sind. Die Vereinigten Arabischen Emirate finanzieren eine dritte Gruppe südlicher Separatisten – eine Splittergruppe der Südbewegung, die seit 2007 aktiv eine Abspaltung vom Jemen anstrebt . Die Gruppe hofft, die Grenzen von 1990 wiederherstellen zu können, als die zuvor getrennten Nord- und Südjemen zu einem Land vereinigt wurden. Auch die Südbewegung ist überwiegend schiitisch. Diese Gruppen repräsentieren weitgehend die unterschiedliche Bevölkerungsstruktur innerhalb der Grenzen des Jemen.
Darüber hinaus halten Reste von Al-Kaida auf der Arabischen Halbinsel (AQAP) weiterhin große Gebiete in der Landesmitte. AQAP ist einer der bekanntesten Al-Qaida-Ableger und rühmt sich der Angriffe durch Einzeltäter auf Fort Hood, Little Rock, die USS Cole, den fehlgeschlagenen Flugzeugbombenanschlag in Detroit und einen Gefängnisausbruch im Jemen. Im Jahr 2011 versuchte die Gruppe, sich in Ansar al-Sharia umzubenennen und konzentrierte sich dann auf die Kontrolle ihrer Gebiete im Jemen. Die Gruppe operierte in den vergangenen Jahren vorwiegend als Miliz und Terrororganisation und griff Einrichtungen der Huthi an. Der Islamische Staat versuchte sich mit einem ähnlichen Modell, konnte sich damit aber kaum durchsetzen. In den jüngsten Berichten über den Islamischen Staat im Jemen geht es um Scharmützel zwischen AQAP und IS.
Als Schlachtfeld ist der Jemen ein interessanter Mikrokosmos regionaler und globaler Mächte, die versuchen, ihre Macht zu projizieren und ihre Interessen durchzusetzen. Im Zentrum des iranischen und saudischen Stellvertreterkriegs um die Vorherrschaft in der Region steht der Bürgerkrieg im Jemen. Die von den Huthi kontrollierten Gebiete waren Ziel der saudi-arabischen Operation Decisive Storm, einer Luftangriffskampagne , bei der den Vereinten Nationen zufolge weiterhin Zivilisten getötet werden. Nach Angaben des US-Militärs wurden im Rahmen der iranischen Kampagne Waffen eingesetzt, die es den Houthis ermöglichten, die Schifffahrtsrouten in der Meerenge von Bab al-Mandeb zu unterbrechen. Während die Spannungen zwischen den USA und dem Iran zunehmen, hat der Iran die Möglichkeit , die Straße von Hormus auf der anderen Seite der Halbinsel zu kontrollieren und droht mit einer Blockade, falls er den Eindruck hat, die USA seien zu aggressiv. Recorded Future hatte bereits 2015 über den Cyberkonflikt zwischen dem Iran und Saudi-Arabien im Jemen berichtet , als die Yemen Cyber Army als patriotische Hackergruppe auftauchte, die saudische Regierungsbehörden angriff. Seitdem werden Verbindungen der Gruppe zum Iran hergestellt.
Dieser regionale Konflikt geht mit widerstreitenden russischen und amerikanischen Interessen auf der Arabischen Halbinsel und den Seewegen der Region einher. Die Vereinigten Staaten führen außerdem eine aktive Kampagne , um die Präsenz des Islamischen Staats (IS) und von Al-Qaida in der Region zu beseitigen. Sie waren dabei zwar erfolgreich, allerdings kamen bei den Luftangriffen und kostspieligen Spezialoperationen zivile Opfer ums Leben. Umgekehrt spekuliert die Jamestown Foundation darüber, dass Russland private Militärdienstleister in den Jemen entsandt habe, um dort eine politische Lösung des Krieges herbeizuführen . Das Carnegie Endowment ist der Ansicht, dass Russland mit diesem Engagement seinen Einfluss ausweiten und seine Macht im Roten Meer demonstrieren möchte.
Auch China hat sein Interesse an der Stabilität auf der Halbinsel verstärkt und steht seit etwa 2017 auf der Seite der Hadi-Regierung und ihrer von Saudi-Arabien unterstützten Streitkräfte. Zwar bestehen zwischen China und der Regierung Saudi-Arabiens bereits Verteidigungsbeziehungen, doch eine Lösung des Konflikts im Jemen würde dazu beitragen, die Gefahr für die chinesische Schifffahrt in der Meerenge von Bab al-Mandab und der umliegenden Region zu verringern. Die Meerenge ist eine wichtige Transitroute für Chinas Belt and Road Initiative – eine Reihe riesiger Infrastrukturprojekte mit dem Ziel, die nationale Macht Chinas zu demonstrieren – nach Saudi-Arabien und in die weitere Region des Nahen Ostens.
Infrastruktur
Die Internet-Infrastruktur im Jemen spiegelt die internationalen Mächte wider, die in dem Land ihre Macht ausüben. Der anhaltende Konflikt hat die Zuteilung von Internet-Raum sowie die Möglichkeit der Bürger, auf das Internet zuzugreifen, beeinträchtigt. Der National Exposure Index von Rapid7 ergab, dass den jemenitischen ASNs zwar 135.168 IP-Adressen zugewiesen wurden, jedoch nur 17.934 Adressen zugeteilt wurden, was auf eine geringe Nutzung hindeutet. Laut DomainTools gab es bisher nur 1152 .ye registrierte Domänen (.ye wird von YemenNet kontrolliert). Personen, die angeben, aus dem Jemen zu stammen, haben 7.845 Domänen registriert, von denen .com die beliebteste ist. Die viertbeliebteste TLD ist .ye. Der Jemen liegt hinsichtlich seiner Bevölkerung weltweit auf Platz 50, bei der Anzahl der Domänenregistrierungen jedoch auf Platz 148.
Im Laufe der letzten vier Jahre hat im Jemen ständig Gebiete den Besitzer gewechselt, und damit auch die Kontrolle über Internetressourcen. Als die Huthi-Kräfte die Hauptstadt Sana'a einnahmen, erlangten sie auch die Kontrolle über YemenNet, den wichtigsten Internetprovider des Jemen. YemenNet ist ausfallgefährdet und wurde bereits früher sowohl durch Cyber- als auch durch physische Mittel gestört.
Unterseekabel
Es gibt vier Unterseekabel, die den Jemen an drei Anlandepunkten versorgen. Wie in der Abbildung unten gezeigt, hat das Unterseekabel FALCON Landepunkte in Al-Ghaydah und Al-Hudaydah und SEA-ME-WE 5 hat ebenfalls einen Landepunkt in Al-Hudaydah, während AAE-1 und Aden-Djibouti Landepunkte in Aden haben.
Unter der Kontrolle der Houthis nutzt TeleYemen (und damit auch YemenNet) Unterseekabel für die Weiterleitung des Datenverkehrs, höchstwahrscheinlich um die Weiterleitung über die Glasfaserverbindungen von Saudi Telecom zu vermeiden. Derzeit arbeitet YemenNet mit Reliance Globalcom, Cogent Communications, Omantel und PCCW Global zusammen – allesamt Partner des Unterseekabels Asia Africa Europe-1 (AAE-1), dessen Landepunkt in Aden liegt. AdenNet hingegen nutzt in erster Linie die von Saudi Telecom bereitgestellten Glasfaserkabel über Land.
Zwei der drei U-Boot-Anlegestellen im Jemen stehen derzeit unter der Kontrolle der Hadi-Regierung. Die dritte Region in Al-Hudaydah steht derzeit unter der Kontrolle der Houthi-Rebellen, ist aber, wie das Bild unten zeigt, ein Gebiet, das die Hadi-Regierung aggressiv ins Visier genommen hat. Der Hafen in Al-Hudaydah ist von entscheidender Bedeutung für die Lieferung von Nahrungsmitteln und medizinischen Hilfsgütern in ein Land, das unter einer Hungersnot und einem Cholera-Ausbruch leidet. Sollten die Streitkräfte der Hadi-Regierung die Kontrolle über den Hafen übernehmen, könnten sie den Internetzugang zwischen der Außenwelt und den YemenNet-Abonnenten unterbrechen. Zwar ist die Lage nicht so gravierend wie die humanitäre Krise, die derzeit im Jemen herrscht, doch ohne Internetzugang wäre es schwieriger zu verstehen, was im Land vor sich geht.
Zugang und Zensur
Im Jahr 2015 berichtete das Citizen Lab, dass die jemenitische Regierung Inhalte für jemenitische Bürger auf YemenNet zensierte, ihrem einzigen nationalen ISP mit Kontrolle über den .ye-Namensraum. Ein Großteil des in YemenNet verwendeten IP- und Domänenbereichs wird durch zwei Caching-Server gefiltert, cache0.yemen.net[.]ye und cache1.yemen.net[.]ye. Dies kann eine Inhaltsüberwachung oder eine Unterbrechung des Datenverkehrs ermöglichen. Recorded Future fand über Shodan Reste dieser Bemühungen mit einem einzelnen NetSweeper- Gerät, einem Tool zum Filtern von Webinhalten, das auf der IP 82.114.160.98 installiert war. Die IP verwendete ein selbstsigniertes SSL-Zertifikat, aber Recorded Future konnte keinen Datenverkehr zu oder von dieser IP-Adresse identifizieren. Über Shodan oder Censys wurden keine weiteren ähnlichen Zensur- oder Zugriffskontrollgeräte gefunden.
Geografische Aufschlüsselung des Internetzugangs und der Gebietskontrolle. Quelle: Erstellt aus Al Jazeera, Reuters, World Energy Atlas und Critical Threats (November 2018).
Nach der Einnahme der jemenitischen Hauptstadt Sana'a im September 2014 erlangten die Houthi-Rebellen die Kontrolle über YemenNet, TeleYemen und alle anderen in der Stadt ansässigen Telekommunikationsanbieter. Im Juni 2018 übernahmen sie außerdem die Kontrolle über den marktbeherrschenden Mobilfunkanbieter MTN Yemen. Damit haben die Houthi-Rebellen nun Zugriff auf dieselben Zugangskontroll- und Zensurinstrumente, die sie schon früher zur Unterbrechung oder Überwachung von Internetaktivitäten eingesetzt haben. Diese können je nach körperlicher Sicherheit der Betreiber der Boxen online oder offline stattfinden. Berichten von Al Arabiya zufolge haben die Houthis diese Programme genutzt, um den Zugang zu WhatsApp, Facebook, Twitter und Telegram sowie zu Domänen zu blockieren, die über Truppenbewegungen der Houthis berichteten. Es ist wahrscheinlich, dass sie diese Kontrollen zu diesem Zweck genutzt haben.
Zeitleiste der jemenitischen Internetaktivität und bedeutender Luftangriffe.
Die Houthis haben außerdem Schritte unternommen, um den Internetzugang über die Kontrolle ihres ISPs vollständig zu unterbinden. Am 7. Dezember 2017 leitete das von den Huthi kontrollierte Ministerium für Kommunikation und Informationstechnologie eine 30-minütige Abschaltung des Internets ein. Zuvor hatten die Houthis bereits den Internetzugang in der Hafenstadt Aden lahmgelegt . Aus zahlreichen Berichten geht hervor , dass die Houthis über 80 Prozent der Glasfaserleitungen von YemenNet gekappt haben und damit einen noch brutaleren Ansatz bei der Kontrolle der Informationen im ganzen Land verfolgen.
IP-Bestände großer Internetdienstanbieter.
Die Hadi-Regierung musste aus der Hauptstadt fliehen und errichtete in Aden eine Operationsbasis. Die neue Basis benötigte außerdem einen Internetzugang. Und anstatt dem von den Huthi kontrollierten YemenNet Geheimnisse oder Geld zuzuspielen oder sich der Willkür der Huthi-Regierung auszuliefern, die den Zugang immer wieder sperrte, richtete das Hadi-Regime im Juni 2018 mit AdenNet einen neuen Backbone-Anbieter ein. Der neue ISP wurde von den Vereinigten Arabischen Emiraten (VAE) finanziert, verwendet einen Single Flow von Saudi Telecom (AS39386) und wurde mit Routern des chinesischen Technologieunternehmens Huawei aufgebaut. Huawei ist ein Unternehmen mit äußerst engen Verbindungen zur chinesischen Regierung und zum chinesischen Militär und ist in den USA und Australien aufgrund von Spionagebedenken von der Nutzung durch Regierungen ausgeschlossen worden.
Ein Großteil der Infrastruktur von AdenNet befindet sich außerhalb des Jemen. Die AdenNet-Website www.adennet4g[.]net wurde am 20. Juni 2018 über GoDaddy registriert und wird bei Bluehost gehostet, ebenso wie der AdenNet-Mailserver (mail.adennet4g.net). Beide Hosts haben dieselbe IP-Adresse, 162.241.226.169, die laut einer Studie von Recorded Future von 886 anderen Domänen gemeinsam genutzt wird. Kundenservice-Funktionen, wie das Self-Service-Portal ssp.adennet4g[.]net, Nutzen Sie den zugewiesenen AdenNet-IP-Bereich.
Die Nutzung des .net gTLD für AdenNet und externe Infrastruktur könnte die Zurückhaltung des Hadi-Regimes widerspiegeln, von den Houthis kontrollierte Ressourcen zu nutzen. Es könnte auch ein Hinweis auf die Herausforderungen sein, die der Aufbau einer neuen Internet-Infrastruktur mit sich bringt, insbesondere mitten in einem Kriegsgebiet. Frühere Berichte deuteten darauf hin, dass Präsident Hadi versucht, die Kontrolle über die .ye zurückzugewinnen ccTLD sowie die ASNs AS30873 und AS12486. Eine Überprüfung der Dokumente bei ICANN, IANA und RIPE zeigt, dass zum Zeitpunkt dieses Berichts noch kein formeller Prozess eingeleitet wurde. Zudem ist die Wahrscheinlichkeit sehr gering, dass die Internet-Verwaltung mitten in einem Bürgerkrieg die Kontrolle über diese Ressourcen überträgt.
Basisdaten für Internetaktivitäten
Aufgrund der Luftangriffe und der Nahrungsmittelknappheit im jemenitischen Bürgerkrieg sind 18 Millionen Menschen auf humanitäre Hilfe angewiesen und es herrscht eine Nahrungsmittelkrise. Allerdings hat die Internetaktivität des Landes während des Krieges nicht abgenommen. Dem CIA World Factbook zufolge ist der Anteil der Internetnutzer an der Bevölkerung von 19,1 Prozent vor dem Krieg im Jahr 2014 auf 24,6 Prozent im Jahr 2016 gestiegen. Internet World Stats behauptet außerdem, dass die Zahl der Internetnutzer in den letzten zwei Jahren ungefähr gleich geblieben sei und im Jahr 2018 bei 24,3 Prozent lag. Darüber hinaus behaupten mehrere Quellen, dass die Verbreitung des Mobiltelefons bereits vor dem Bürgerkrieg im Land bei über 50 Prozent gelegen habe und in den letzten vier Jahren entweder ungefähr gleich geblieben oder sogar gestiegen sei.
Es gibt Belege dafür, dass im Jemen fünf unterschiedliche Typen von Nutzern Internetdienste nutzen. Die Houthi-Rebellen nutzten ihre Kontrolle über YemenNet und die .ye Domänenbereich nach der Einnahme von Sana'a, und Regierungswebsites spiegeln die aktuelle Houthi-Regierung in der Hauptstadt wider. So findet sich auf der Website des jemenitischen Außenministeriums eine aktuelle Liste des derzeitigen von den Huthi geführten Ministeriums. Darüber hinaus wird die Regierung Hadi mit der Schaffung von AdenNet Internetdienste wahrscheinlich häufiger nutzen.
Screenshot der Website des von den Huthi geführten jemenitischen Außenministeriums unter der Domäne mofa.gov[.]ye.
Auch die Universitäten haben im Land nach wie vor Zugang zum Internet und die Studierenden nutzen diese Dienste weiterhin für Recherchen, zur Kommunikation untereinander und zum Surfen im Internet. Allerdings wird dieser Verkehr immer unbedeutender, da die Universitäten zunehmend Ziel von Luftangriffen und Bombenattentatem sowohl der Huthi- als auch der Hadi-geführten Fraktionen werden, was zu einem Rückgang der Universitätseinschreibungen führt. Darüber hinaus werden Universitäten im Land zunehmend zu Internierungslagern umfunktioniert, was ein weiterer Grund für den Rückgang der Internetnutzung an den Universitäten sein dürfte.
Eine überproportional große Zahl von Privat- und Geschäftsanwendern im Jemen hat die DNS-Rekursion auf ihren Routern aktiviert, wodurch diese Router als Caching-DNS-Server für die Benutzer hinter dem Router fungieren können. Laut Shodan gibt es mehr als 12.000 Customer Premise Equipment (CPE)-Router mit aktivierter DNS-Rekursion. Möglicherweise geschieht dies, um die angeblich drakonische Zensur der Houthis zu umgehen. Wie bereits erwähnt, verwenden sie angeblich Netsweeper, ein Tool, das eine Kombination aus Web- und DNS-Filterung nutzt, um als anstößig erachtete Inhalte zu blockieren.
Zum Vergleich: Die Länder Mosambik und Ghana, die eine ähnliche Bevölkerungsgröße wie der Jemen aufweisen, melden in Shodan nur etwa 670 bzw. 1.200 offene DNS-Server.
Aufschlüsselung der jemenitischen Verkehrsziele zu OpenVPN-Endpunkten gemäß Metadaten von Drittanbietern.
Schließlich deuteten mehrere Quellen darauf hin, dass jemenitische Bürger entweder den Tor-Browser oder VPNs nutzten, um jemenitische Internetsperren und Zensur zu umgehen. Diese Benutzergruppe würde wahrscheinlich auf Quellen zugreifen, die weder von den von den Houthis angeführten Rebellen (die am 7. Dezember 2017 das Internet im ganzen Land vorübergehend abschalteten ) noch von der Hadi-Regierung genehmigt sind, die in der Vergangenheit bereits verschiedene soziale Medien blockiert hat. Recorded Future fand im Oktober 2018 Beweise für die Nutzung von VPN und Tor im Jemen. Geringe Mengen Datenverkehr von mehreren AdenNet-IPs versuchten, auf nicht-jemenitische IPs zuzugreifen, deren Ports 9001 (Tor), 1194 (OpenVPN) oder 110 (IPSEC-VPN-Tunneling) geöffnet waren.
Aufschlüsselung der jemenitischen Datenverkehrsziele zu Tor-Endpunkten gemäß Metadaten von Drittanbietern.
Quantifizierung der Internetnutzung im von Hadi kontrollierten Jemen
AdenNet ist viel kleiner als das jetzt von den Houthis kontrollierte YemenNet. Um die Arten des Datenverkehrs zu ermitteln, die vom ISP kamen, führte Recorded Future vom 1. Oktober bis zum 6. November 2018 eine Metadatenanalyse durch. Recorded Future hat sich für die Überwachung von AdenNet entschieden, da es erst vor Kurzem gegründet wurde und unter der Kontrolle der Hadi-Regierung steht. Daher ist die Analyse dieses Internetdienstanbieters hilfreich, um Einblicke in die Vorgänge im von Hadi kontrollierten Jemen zu gewinnen. Obwohl die meisten großen Städte im Jemen seit der Gründung von AdenNet im Juni 2018 von Bombenanschlägen heimgesucht wurden, scheinen sowohl YemenNet als auch AdenNet ohne größere Probleme zu funktionieren, wenn man den Datenverkehr zwischen den beiden ISPs und den öffentlich bekannten YemenNet-Hosts im Internet betrachtet.
Recorded Future-Karte der Luftangriffe oder Bombenangriffe im Jemen seit Juni 2018.
Top-Ports und -Protokolle: Surfen im Internet und VPNs
Die meisten Aktivitäten, die wir bei unserer Analyse des jemenitischen Internets beobachtet haben, betrafen – wenig überraschend – das Surfen im Internet über HTTP oder HTTPS. Darüber hinaus haben wir auch sporadische DNS-, POP3-, SMTP- und IMAP-Aktivitäten festgestellt. Wir haben einige IPSEC-Tunneling-Aktivitäten unter Verwendung des ESP-Protokolls (Encapsulating Security Payload) beobachtet, was auf die Verwendung einer VPN-Anwendung hinweist. Dies könnte ein weiterer Beweis dafür sein, dass jemenitische Benutzer versuchen, die Internetkontrollen der jeweiligen Regierungen zu umgehen, um online zu gehen. Zu den weiteren Aktivitäten gehörte die Verwendung der Internet-Verwaltungsprotokolle TELNET, SSH und des Network News Transfer Protocol (NNTP), eines der ältesten Protokolle des Internets, das die Übertragung von Nachrichtenartikeln zwischen Servern der USENET-Newsgroup-Welt im Internet ermöglicht. Schließlich wurden auch Hinweise auf BitTorrent- und Online-Gaming-Aktivitäten sowie die mögliche Verwendung von XMPP-Messaging-Anwendungen wie Jabber gefunden.
Da der Großteil des von uns beobachteten Datenverkehrs auf Webbrowser-Aktivitäten zurückzuführen war, ist es keine Überraschung, dass der Großteil des von AdenNet-IPs stammenden Datenverkehrs im Recorded Future-Datensatz auf große Hosting-Sites und CDN-Anbieter (Content Distribution Network) wie Highwinds, Amazon und Akamai gerichtet war. Überraschend ist die Verteilung zwischen westlichen und chinesischen Hosts. Obwohl die Hosting-Dienste von Alibaba und Tencent nicht so häufig genutzt werden wie ihre westlichen Pendants, machen sie dennoch einen beträchtlichen Anteil des jemenitischen Internetverkehrs aus.
Verdächtige Internetaktivitäten
Schwachstellen in der Internet-Infrastruktur
Recorded Future hat mehrere Fälle verdächtiger Aktivitäten innerhalb und außerhalb der Internet-Infrastruktur des Jemen festgestellt. Zum einen scheint AdenNet nicht das erste Mal zu sein, dass der Jemen seine Backbone-Internet-Infrastruktur einem chinesischen Unternehmen anvertraut. Die Shodan-Integration von Recorded Future zeigt, dass die IP für einen der wichtigsten Nameserver im YemenNet, ns1.yemen.net[.]ye, enthält ein „Tenda-Backdoor“-Modul. Während dieses Modul in Shodan nicht mehr durchsuchbar ist, bezieht sich das Modul „Tenda-Backdoor“ auf eine Firmware-Hintertür, die die Schwachstelle CVE-2017-16923 nutzt, um eine Remote-Befehlsausführung in Routermodellen des chinesischen Netzwerkherstellers Tenda durchzuführen.
Es ist unklar, ob es sich hierbei um eine absichtliche oder versehentliche Hintertür des Anbieters handelte. Wenn der Nameserver mit anderer Infrastruktur innerhalb des YemenNet verbunden ist (was wahrscheinlich ist), könnten sowohl staatliche als auch nichtstaatliche Angreifer diese Hintertür nutzen, um den ISP zu infiltrieren.
Screenshot der Recorded Future Shodan-Erweiterung für ns1.yemen.net[.]ye.
Darüber hinaus sind die von den Huthi kontrollierten Server 82.114.162.66 und 82.114.162.10, auf denen bis Juni 2018 über 500 jemenitische Regierungs-, Bildungs- und Unternehmenswebsites gehostet waren, voller alter Schwachstellen wie CVE-2003-1582, CVE-2009-2521, CVE-2008-1446 und anderen älteren Problemen, die Angreifern, wenn sie nicht gepatcht werden, einen einfachen Zugriff auf die besagten Systeme ermöglichen könnten. Auch wenn viele der ursprünglichen Websites nicht mehr auf diesen Servern gehostet werden, ist es durchaus möglich, dass alte Systemprotokolle und Daten noch vorhanden sind.
Screenshot der PassiveTotal-Domänenergebnisse für die IP 82.114.162[.]66 an bestimmten Tagen im Jahr 2018. Quelle: PassiveTotal.
Befehls- und Kontrollserver
Die Sammlungen von Recorded Future haben in Zusammenarbeit mit Shodan eine Reihe von grundlegenden Befehls- und Kontrollservern in jemenitischen Gebieten identifiziert, auf denen Remote-Access-Trojaner ausgeführt werden. Dazu gehörten die Trojaner Bozok, DarkComet und NetBus .
Malware-Beispiele
Recorded Future stellte einen deutlichen Anstieg der Anzahl der aus dem Jemen an VirusTotal übermittelten Software-Samples fest, von 13 Samples zwischen 2015 und 2017 auf insgesamt 164 Samples im Jahr 2018. Die Ursache ist weiterhin unklar. Dies kann auf die Einführung von AdenNet zurückzuführen sein, da dadurch mehr Bürgern und Einwohnern des Jemen ein verlässlicherer Internetzugang zur Verfügung steht. Es kann jedoch auch an der gestiegenen Bedrohungsaktivität liegen.
Ungefähr die Hälfte dieser Beispiele war bösartig und bei der überwiegenden Mehrheit handelte es sich um Android-Anwendungen. Anhand der 84 Android-Samples, die seit 2015 auf VirusTotal hochgeladen wurden, konnte Recorded Future mithilfe von Joe Security Varianten weit verbreiteter Malware-Familien identifizieren, darunter AhMyth, DroidJack, Hiddad und Dianjin, sowie mehrere gefälschte Altcoin-Wallets, gefälschte WhatsApp-Anwendungen und Spyware, die sich als Antiviren-, Videowiedergabe- und VPN-Anwendungen ausgab. Darüber hinaus stellte Recorded Future mithilfe der dynamischen Analyse von Joe Security und der Malware-Detonation von Recorded Future fest, dass 50 Prozent der aus den Android-Beispielen erhaltenen Adware sowohl chinesische als auch westliche Werbeseiten erreichte. Zwei Drittel der gefälschten Antiviren-Spyware-Apps sowie einige gefundene AhMyth-Beispiele waren mit chinesischen IPs verbunden.
Bei den meisten Anwendungen im VirusTotal-Datensatz handelt es sich offenbar um gefälschte Low-Level-Anwendungen, die Adware verbreiten. Einige Spyware aus dem Datensatz wurden jedoch mit JiaGuBao gepackt, einem kommerziellen Packer aus China. Darüber hinaus greift die gefälschte Antiviren-Spyware, die chinesische IPs erreicht, auf Informationen von Android-Telefonen zu, darunter alte E-Mails, SMS- und Anrufprotokolle sowie den Browserverlauf. Es verwendet wahrscheinlich Eingabehilfedienste, um andere installierte Anwendungen zu steuern, und verfügt über die Möglichkeit, die WLAN-Konfiguration zu ändern, Dienste bei ausgeschaltetem Telefonbildschirm zu starten, Fotos aufzunehmen und andere Pakete zu löschen. Es besteht kein Zweifel, dass China sowohl aus kommerzieller als auch aus diplomatischer Sicht am Ausgang des Bürgerkriegs im Jemen interessiert ist. Obwohl jedoch ein Teil der Schadsoftware, die chinesische IPs ansteuert, mit möglichen chinesischen Überwachungsinteressen übereinstimmt, konnte Recorded Future nicht feststellen, ob die erhaltene Schadsoftware aus einer Spionagekampagne eines chinesischen Staates stammte. Darüber hinaus deckte Recorded Future mehrere chinesische Mobil-Apps auf, die von Einzelpersonen im Jemen genutzt wurden und umfangreiche Berechtigungen für Android-Telefone verlangten. Da diese Anwendungen derzeit nur in chinesischen App-Stores erhältlich sind, ist es unwahrscheinlich, dass die Apps von gebürtigen Jemeniten verwendet wurden, sondern eher von im Jemen lebenden chinesischen Staatsangehörigen, die wahrscheinlich zum Kapazitätsaufbau im Jemen stationiert sind. Chinesische Unternehmen, darunter Huawei, haben in der Vergangenheit beim Bau von Infrastrukturprojekten chinesische Arbeiter ins Ausland geschickt . Chinesische Staatsangehörige würden während ihres Aufenthalts im Jemen wahrscheinlich auf sie zugeschnittene Anwendungen herunterladen.
Coin-Mining-Aktivität
Recorded Future hat 973 Hosts im Jemen gefunden, die den Kryptowährungs-Mining-Dienst Coinhive betreiben. Coinhive, ein JavaScript-basierter Monero-Miner, wurde Anfang 2017 veröffentlicht, zwei Jahre nachdem die Houthi-Rebellen die Kontrolle über YemenNet übernommen hatten. Es ist normalerweise in Websites eingebettet und nutzt die CPU oder Verarbeitungsleistung eines Benutzers, um Kryptowährung zum Vorteil des Websitebesitzers zu schürfen. Dadurch wird häufig der Browser eines Benutzers gesperrt und der Akku des Geräts des Benutzers entladen, solange dieser auf der Site surft. Alle 973 Hosts sind MikroTik-Router, die zum YemenNet ASN AS30873 gehören, und 213 der Hosts teilen sich dieselbe Domäne, dynamic.yemennet[.]ye.
Im Oktober 2018 veröffentlichte Avast einen Bericht über mehrere Cryptojacking-Kampagnen, bei denen Angreifer einen weit verbreiteten Exploit1 unter Ausnutzung von CVE-2018-14847 verwendeten und den erforderlichen JavaScript-Code einschleusten, um Coinhive auf den kompromittierten Routern auszuführen. Recorded Future fand Monero-Miner, die die von Avast erwähnten einzigartigen SSH- und Telnet-Ports verwendeten, und stellte fest, dass etwa 427 der 973 Router an früheren, breit angelegten Kampagnen beteiligt waren, die bereits im Bericht von Avast erwähnt wurden. Bei den anderen 546 Routern gibt es bislang keinerlei Verbindung zu früheren Kampagnen. Ein Drittel der vermissten Gastgeber (189) befindet sich in Sana'a, der von den Huthi kontrollierten Hauptstadt. Von Coinhive-Administratorkonten generierte „eindeutige“ Site-Schlüssel wurden für mehrere Hosts wiederverwendet, was darauf schließen lässt, dass einige wenige Konten die große Mehrheit dieser Hosts kontrollieren.
Darüber hinaus sind alle infizierten Router Teil des YemenNet-Netzwerks, während identische MikroTik-Router im Besitz von TeleYemen nicht infiziert wurden. Wir konnten nicht feststellen, wer für die Infektion dieser YemenNet-Router verantwortlich war oder warum die Router von TeleYemen ebenfalls nicht betroffen waren. Die verfügbaren Daten führen uns jedoch zu drei möglichen Szenarien:
Die TeleYemen-Hosts könnten Teil einer anderen kriminellen Coinhive-Kampagne sein, da es eine teilweise Überschneidung der Coinhive-Schlüssel mit zuvor entdeckten, nicht-jemenitischen Hosts gibt, die im Avast-Bericht erwähnt werden.
Parteien, die ein Interesse daran haben, die Kapazität der Internetdienste der Huthi während Luftangriffen oder anderen konventionellen Kämpfen zu beeinträchtigen, könnten den verfügbaren Coinhive-Exploit nutzen, um die Rechner von YemenNet zu verlangsamen, was zu Einschränkungen der Regierungskommunikation und der zivilen Onlinedienste führen und Hosts sogar offline schalten würde.
Die von den Huthi geführte Regierung könnte versuchen, mithilfe ihrer eigenen Hosts Altwährungen für das Regime zu generieren. Zusätzliche Einnahmequellen in Zeiten der Hungersnot und Wirtschaftskrise würden die Bemühungen der Huthi-geführten Regierung unterstützen, sich im Inland zu legitimieren. Dazu würden sie den Huthi-Regionen, in denen die Hungersnot am schlimmsten ist, Hilfe leisten und zusätzliche konventionelle Waffen kaufen, um sie gegen die von Hadi geführte Regierung einzusetzen.
Unabhängig von den beteiligten Akteuren gehen wir davon aus, dass die aktuelle Coin-Mining-Kampagne die von den Huthi gehaltenen Internetressourcen erschöpft. Der Monero-Mining-Algorithmus ist speziell so konzipiert, dass gewöhnliche Computer die Kryptowährung genauso einfach generieren können wie Computer mit maßgeschneiderten Mining-Chips (ASICs). Beim Bitcoin-Mining ist es genau umgekehrt: Hier macht die Mining-Leistung der ASICs Standard-PCs wirkungslos. Recorded Future konnte nicht feststellen, wie viel Monero durch diese Bemühungen generiert wurde.
Erwartete Cyber-Targeting-Profile
Recorded Future ging davon aus, dass die Hauptkriegsparteien im Jemen-Konflikt jeweils bestimmte Zielprofile erstellen würden. In diesem Abschnitt werden die erwartete Aktivität sowie etwaige Unterschiede oder fehlende Daten zu diesen Parteien untersucht.
Oberster Politischer Rat der Huthi
Die Tatsache, dass die Houthis einen Großteil der Internetressourcen im Jemen kontrollieren, vom Iran unterstützt werden und de facto die Kontrolle über das Land ausüben, ist für die saudi-arabische Regierung weiterhin ein Grund zum Zorn. Dies macht sie wahrscheinlich zum Ziel saudischer Überwachung. Recorded Future geht davon aus, dass diese Überwachung in erster Linie dazu dienen würde, die Absichten und Schlachtpläne der Huthi für Gefechte im gesamten Jemen zu erkennen, und dass sie auf Router, traditionelle Hosts und mobile Android-Geräte abzielen würde. Das Citizen Lab hat den Einsatz der Spionagetools Pegasus der NSO Group durch die Saudis mit dem Angriff auf iOS-Geräte in Verbindung gebracht und damit die relative Absicht des Königreichs aufgezeigt, die Entwicklung seiner Schadsoftware auszulagern.
Lookout hat herausgefunden, dass die Spyware der NSO Group für Android-Geräte, Chrysaor, Message Queue Telemetry Transport (MQTT) zur Kommunikation verwendet. Das Protokoll verwendet TCP/IP-Port 1883 und Port 8883, wenn der Datenverkehr über SSL verschlüsselt ist. Dieses Protokoll wird auch von der gängigen Social-Media-Plattform MeetMe verwendet und wird oft für Verbindungen an entfernten Standorten eingesetzt, wo nicht immer Verfügbarkeit besteht. Trotz der Kontrolle des YemenNet durch die Huthi konnte Recorded Future mithilfe der herkömmlichen Chrysaor-Konfiguration keine Infektionen im YemenNet oder in einer seiner Sammlungen feststellen.
Hadi-Regierung
Die Hadi-Regierung wird direkt von Saudi-Arabien unterstützt und versucht, den Einfluss der Sunniten und Saudi-Arabiens im Nachbarland zu stärken. Zudem befindet sie sich in direktem Konflikt mit den vom Iran unterstützten Huthi-Kräften. Recorded Future geht aufgrund der Kooperation der Hadi-Regierung mit China davon aus, dass es zu einer gewissen chinesischen Überwachung der Aktivitäten im Jemen kommen wird, und sei es nur als eine Art Kontrolle ihrer Investitionen. Darüber hinaus geht Recorded Future davon aus, dass gegen diese Kräfte iranische Schadsoftware zur mobilen Überwachung eingesetzt wird. CheckPoint fand heraus, dass diese gegen iranische Dissidenten und potenzielle Sympathisanten des Islamischen Staats eingesetzt wird.
Südliche Sezessionisten
Die Südbewegung, offiziell bekannt als Südübergangsrat (Southern Transitional Council, STC), wird größtenteils von den Vereinigten Arabischen Emiraten unterstützt, befindet sich jedoch in einer schwierigen Allianz mit der saudischen Koalition, die schon oft auf die Probe gestellt und zerschlagen wurde. Im Oktober 2018 riefen die STC-Streitkräfte zu einem Aufstand in Aden auf, der in direkten Konflikt mit der Kontrolle der Hadi-Regierung über die Stadt geriet. Diese Aktivität löste weitere Friedensaufrufe der UNO aus und verschaffte der Gruppe größere internationale Anerkennung für ihr Ziel eines autonomen Südjemen. Aufgrund der Zusammenarbeit und des Bündnisses zwischen den Regierungen der Vereinigten Arabischen Emirate und Saudi-Arabiens geht Recorded Future nicht davon aus, dass Saudi-Arabien die Streitkräfte des STC ins Visier nehmen wird. Und obwohl der STC in direktem Konflikt mit den Houthis steht, geht Recorded Future aufgrund des Fehlens dauerhafter Internetverbindungen oder definierter Mobilfunkbereiche nicht davon aus, dass der STC gezielt mit iranischer Schadsoftware ins Visier genommen wird.
Al-Qaida auf der Arabischen Halbinsel
Der Al-Qaida-Ableger im Jemen befindet sich in einem überraschend eigenartigen Angriffsszenario. Laut Carnegie Endowment wird die Gruppe weitgehend von der von Saudi-Arabien geführten Koalition unterstützt und hat mit ihnen das gemeinsame Ziel, die Houthis zu bekämpfen. Die Saudis unterzeichneten sogar einen Nichtangriffspakt mit den Extremisten. Dies steht im Widerspruch zu der US-Unterstützung saudi-arabischer Interessen, da die Vereinigten Staaten die AQAP-Kräfte fast ausschließlich im Jemen ins Visier nehmen. Die Iraner sind vermutlich gegen die Angriffe der mit Saudi-Arabien verbündeten Extremisten auf die Huthi-Kräfte .
Kaspersky entdeckte, dass das Slingshot-Framework von 2012 bis 2018 auf einzelne Router im Jemen und anderen Ländern abzielte. Berichten zufolge wurde Slingshot vom US-Militär eingesetzt, um Mitglieder des Islamischen Staats und von Al-Qaida ins Visier zu nehmen. Dies ist möglicherweise der bekannteste Fall der Cyber-Nutzung zur Terrorüberwachung. Recorded Future konnte keine dieser Aktivitäten identifizieren.
Ausblick
Trotz anhaltender Luftangriffe, bewaffneter Auseinandersetzungen zwischen jemenitischen Fraktionen und der allgemeinen Verschlechterung der Infrastruktur und der öffentlichen Gesundheit im Jemen könnte sich der Internetzugang im Jemen als stabil erweisen. Durch die Einführung von AdenNet zur Schaffung eines dualen Backbones im Jemen wurde ein zusätzlicher Netzwerkzugangspunkt für Tausende von Bürgern geschaffen, denen der Internetzugang entzogen wurde, als die Houthis Sana'a einnahmen. Allerdings könnten Schwachstellen im YemenNet zu Spionage- oder sogar Zerstörungskampagnen innerhalb seiner Infrastruktur führen und den Internetzugang in den von den Huthi kontrollierten Gebieten beeinträchtigen.
Recorded Future geht mit mittlerer Sicherheit davon aus, dass die Houthi-Regierung in Sanaa angesichts der zunehmenden Inflation im Land weiterhin versuchen wird, alternative Währungen zu schaffen, um ihre Entwicklungshilfe und ihre militärischen Bemühungen zu unterstützen. Insbesondere angesichts neuer Formen des Internetzugangs wird Schadsoftware im Land weiterhin ein ständiger Faktor bleiben. Ebenso werden einige jemenitische Bürger vermutlich auch weiterhin die staatlichen Internetkontrollen umgehen, da sie Verständnis dafür haben, dass beide Regierungen schon in der Vergangenheit den Internetzugang kontrollieren wollten. Leider wird der Zugang zu Informationen oder Cyber-Mitteln den Jemen voraussichtlich nicht vor einer Hungersnot, einem Cholera- Ausbruch oder den Gräueltaten eines anhaltenden Bürgerkriegs bewahren.
Verwandt