This is the first time researchers have been able to attribute a threat actor group with a high degree of confidence to the Ministry of State Security.

Key Takeaways

• APT3 is the first threat actor group that has been attributed with a high degree of confidence directly to the Chinese Ministry of State Security (MSS).
• On May 9, a mysterious group called “intrusiontruth” attributed APT3 to a company, Guangzhou Boyu Information Technology Company, based in Guangzhou, China.
• Recorded Future’s open source research and analysis has corroborated the company, also known as Boyusec, is working on behalf of the Chinese Ministry of State Security.
• Customers should re-examine any intrusion activity known or suspected to be APT3 and all activity from associated malware families as well as re-evaluate security controls and policies.

Introduction

Le 9 mai, un groupe mystérieux se faisant appeler« intrusiontruth »a identifié un sous-traitant du ministère chinois de la Sécurité d'État (MSS) comme étant à l'origine des cyberattaques APT3.

Recorded Future timeline of APT3 victims.

Screenshot of a blog post from “intrusiontruth in APT3.”

« Intrusiontruth » a documenté les liens historiques entre les domaines utilisés par un outil APT3 appelé Pirpi et deux actionnaires d'une société chinoise de sécurité informatique nommée Guangzhou Boyu Information Technology Company, Ltd (également connue sous le nom de Boyusec).

Registration information for a domain linked to the malware Pirpi. The details show the domain was registered to Dong Hao and Boyusec.

APT3 has traditionally targeted a wide-range of companies and technologies, likely to fulfill intelligence collection requirements on behalf of the MSS (see research below). Recorded Future has been closely following APT3 and has discovered additional information corroborating that the MSS is responsible for the intrusion activity conducted by the group.

Recorded Future Intelligence Card™ for APT3.

Background

APT3 (également connu sous les noms UPS, Gothic Panda et TG-011) est un groupe cybercriminel sophistiqué actif depuis au moins 2010. APT3 utilise un large éventail d'outils et de techniques, notamment des attaques par hameçonnage, des exploits zero-day et de nombreux outils d'accès à distance (RAT) uniques et accessibles au public. Les victimes des intrusions APT3 comprennent des entreprises des secteurs de la défense, des télécommunications, des transports et des technologies de pointe, ainsi que des ministères et des agences gouvernementales à Hong Kong, aux États-Unis et dans plusieurs autres pays.

Analysis

Sur son site Web, Boyusec identifie explicitement deux organisations avec lesquelles elle collabore : Huawei Technologies et le Guangdong Information Technology Security Evaluation Center (ou Guangdong ITSEC).

Capture d'écran du site Web de Boyusec où Huawei et Guangdong ITSEC sont
identifiés comme partenaires collaborateurs.

En novembre 2016, le Washington Free Beacon a rapporté qu'un rapport interne du Pentagone avait révélé l'existence d'un produit que Boyusec et Huawei fabriquaient conjointement. Selon le rapport du Pentagone, les deux entreprises collaboraient à la fabrication de produits de sécurité, susceptibles de contenir une porte dérobée, qui permettrait aux services de renseignement chinois « de capturer des données et de contrôler des équipements informatiques et de télécommunication ». L'article cite des responsables gouvernementaux et des analystes affirmant que Boyusec et le MSS sont « étroitement liés » et que Boyusec semble être une société écran pour le MSS.

Imagery ©2017 DigitalGlobe, Map data ©2017

Boyusec is located in Room 1103 of the Huapu Square West Tower in Guangzhou, China.

Boyusec’s work with its other “cooperative partner,” Guangdong ITSEC, has been less well-documented. As will be laid out below, Recorded Future’s research has concluded that Guangdong ITSEC is subordinate to an MSS-run organization called China Information Technology Evaluation Center (CNITSEC) and that Boyusec has been working with Guangdong ITSEC on a joint active defense lab since 2014.

Guangdong ITSEC fait partie d'un réseau national de centres d'évaluation de la sécurité certifiés et gérés par le CNITSEC. Selon les médias d'État chinois, Guangdong ITSEC est devenue la seizième succursale nationale du CNITSEC en mai 2011. Le site Web de Guangdong ITSEC indique également dans son en-tête qu'il s'agit du bureau de Guangdong de CNITSEC.

Selon des recherches universitaires publiées dans China and Cybersecurity: Espionage, Strategy, and Politics in the Digital Domain, le CNITSEC est dirigé par le MSS et abrite une grande partie de l'expertise technique en matière de cyberespionnage des services de renseignement. Le CNITSEC est utilisé par le MSS pour « réaliser des tests de vulnérabilité et des évaluations de la fiabilité des logiciels ». Selon un câble du Département d'État américain datant de 2009, il semblerait que la Chine puisse également exploiter les vulnérabilités découlant des activités du CNITSEC dans le cadre d'opérations de renseignement. Le directeur du CNITSEC, Wu Shizhong, se présente lui-même comme un membre du MSS, notamment pour son travail en tant que directeur adjoint du Comité national chinois des normes de sécurité de l'information, poste qu'il occupait encore en janvier 2016.

Recorded Future research identified several job advertisements on Chinese-language job sites such as jobs.zhaopin.com, jobui.com, and kanzhun.com since 2015, Boyusec revealed a collaboratively established joint active defense lab (referred to as an ADUL) with Guangdong ITSEC in 2014. Boyusec stated that the mission of the joint lab was to develop risk-based security technology and to provide users with innovative network defense capabilities.

Job posting where Boyusec highlights the joint lab with Guangdong ITSEC. The translated text is, “In 2014, Guangzhou Boyu Information Technology Company and Guangdong ITSEC cooperated closely to establish a joint active defense lab (ADUL).”

Conclusion

Le cycle de vie d'APT3 illustre parfaitement la manière dont le MSS mène ses opérations dans les domaines humain et cybernétique. Selon des experts en renseignement chinois, le MSS est composé d 'éléments nationaux, provinciaux et locaux. Bon nombre de ces éléments, en particulier aux niveaux provincial et local, comprennent des organisations ayant des missions publiques légitimes qui servent de couverture aux opérations de renseignement du MSS. Certaines de ces organisations comprennent des groupes de réflexion tels que le CICIR, tandis que d'autres comprennent des gouvernements provinciaux et des bureaux locaux.

In the case of APT3 and Boyusec, this MSS operational concept serves as a model for understanding the cyber activity and lifecycle:

• While Boyusec has a website, an online presence, and a stated “information security services” mission, it cites only two partners, Huawei and Guangdong ITSEC.
• Intrusiontruth and the Washington Free Beacon have linked Boyusec to supporting and engaging in cyber activity on behalf of the Chinese intelligence services.
• Recorded Future’s open source research has revealed that Boyusec’s other partner is a field office for a branch of the MSS. Boyusec and Guangdong ITSEC have been documented working collaboratively together since at least 2014.
• Academic research spanning decades documents an MSS operational model that utilizes organizations, seemingly without an intelligence mission, at all levels of the state to serve as cover for MSS intelligence operations.
• According to its website, Boyusec has only two collaborative partners, one of which (Huawei) it is working with to support Chinese intelligence services, the other, Guangdong ITSEC, which is actually a field site for a branch of the MSS.

Graphic displaying the relationship between the MSS and APT3.

Impact

Les implications sont claires et vastes. Les recherches menées par Recorded Future nous permettent d'attribuer avec un haut degré de certitude l'APT3 au ministère chinois de la Sécurité publique et à Boyusec. Boyusec est connu pour avoir produit des technologies malveillantes et collaboré avec les services de renseignement chinois.

APT3 is the first threat actor group that has been attributed with a high degree of confidence directly to the MSS. Companies in sectors that have been victimized by APT3 now must adjust their strategies to defend against the resources and technology of the Chinese government. In this real-life David versus Goliath situation, customers need both smart security controls and policy, as well as actionable and strategic threat intelligence.

APT3 is not just another cyber threat group engaging in malicious cyber activity; research indicates that Boyusec is an asset of the MSS and their activities support China’s political, economic, diplomatic, and military goals.

Le MSS définit les besoins en matière de collecte de renseignements à partir des directives des dirigeants de l'État et du parti, dont beaucoup sont définies de manière générale tous les cinq ans dans des directives gouvernementales officielles appelées « plans quinquennaux ». De nombreuses victimes d'APT3 appartiennent à des secteurs mis en avant dans le dernier plan quinquennal, notamment les énergies vertes/alternatives, les sciences et technologies liées à la défense, le secteur biomédical et l'aérospatiale.