Dies ist das erste Mal, dass Forscher mit hoher Wahrscheinlichkeit eine Gruppe von Bedrohungsakteuren dem Ministerium für Staatssicherheit zuordnen konnten.

Key Takeaways

• APT3 ist die erste Bedrohungsakteursgruppe, die mit hoher Wahrscheinlichkeit direkt dem chinesischen Ministerium für Staatssicherheit (MSS) zugeschrieben wird.
• Am 9. Mai schrieb eine mysteriöse Gruppe namens „Intrusiontruth“ APT3 einem Unternehmen zu, der Guangzhou Boyu Information Technology Company mit Sitz in Guangzhou, China.
• Die Open-Source-Recherchen und -Analysen von Recorded Future haben bestätigt, dass das auch als Boyusec bekannte Unternehmen im Auftrag des chinesischen Ministeriums für Staatssicherheit arbeitet.
• Kunden sollten sämtliche Eindringaktivitäten, bei denen es sich bekanntermaßen oder mutmaßlich um APT3 handelt, sowie alle Aktivitäten der zugehörigen Malware-Familien erneut prüfen und ihre Sicherheitskontrollen und -richtlinien neu bewerten.

Einführung

Am 9. Mai identifizierte eine mysteriöse Gruppe, die sich selbst "intrusiontruth" nennt, einen Auftragnehmer des chinesischen Ministeriums für Staatssicherheit (MSS) als die Gruppe, die hinter den APT3-Cyberangriffen steckt.

Aufgezeichnete zukünftige Zeitleiste der APT3-Opfer.

Screenshot eines Blogbeitrags von „Intrusiontruth in APT3“.

„Intrusiontruth“ dokumentierte historische Verbindungen zwischen Domänen, die von einem APT3-Tool namens Pirpi verwendet wurden, und zwei Anteilseignern eines chinesischen Informationssicherheitsunternehmens namens Guangzhou Boyu Information Technology Company, Ltd (auch bekannt als Boyusec).

Registrierungsinformationen für eine Domäne, die mit der Schadsoftware Pirpi verknüpft ist. Aus den Details geht hervor, dass die Domäne auf Dong Hao und Boyusec registriert war.

APT3 hat traditionell eine breite Palette von Unternehmen und Technologien ins Visier genommen, die wahrscheinlich den Anforderungen der Informationsbeschaffung im Auftrag des MSS entsprechen (siehe Forschungsergebnisse unten). Recorded Future hat APT3 aufmerksam verfolgt und zusätzliche Informationen entdeckt, die bestätigen, dass MSS für die Einbruchsaktivitäten der Gruppe verantwortlich ist.

Aufgezeichnete Future Intelligence Card ™ für APT3.

Hintergrund

APT3 (auch bekannt als UPS, Gothic Panda und TG-011) ist eine ausgeklügelte Bedrohungsgruppe, die seit mindestens 2010 aktiv ist. APT3 nutzt eine breite Palette von Tools und Techniken, darunter Spearphishing-Angriffe, Zero-Day-Exploits und zahlreiche einzigartige und öffentlich zugängliche Remote Access Tools (RAT). Zu den Opfern von APT3-Einbrüchen gehören Unternehmen aus den Bereichen Verteidigung, Telekommunikation, Transport und fortschrittliche Technologie sowie Regierungsabteilungen und -büros in Hongkong, den USA und mehreren anderen Ländern.

Analyse

Auf der Website von Boyusec nennt das Unternehmen ausdrücklich zwei Organisationen, mit denen es kooperiert: Huawei Technologies und das Guangdong Information Technology Security Evaluation Center (oder Guangdong ITSEC).

Screenshot der Website von Boyusec, auf der sich Huawei und Guangdong ITSEC befinden
als Kooperationspartner identifiziert.

Im November 2016 berichtete der Washington Free Beacon , dass ein interner Geheimdienstbericht des Pentagons ein Produkt aufgedeckt hatte, das Boyusec und Huawei gemeinsam herstellten. Dem Bericht des Pentagons zufolge arbeiteten die beiden Unternehmen zusammen, um Sicherheitsprodukte herzustellen, die wahrscheinlich eine Hintertür enthielten, die es dem chinesischen Geheimdienst ermöglichen würde, "Daten zu erfassen und Computer- und Telekommunikationsgeräte zu kontrollieren". Der Artikel zitiert Regierungsbeamte und Analysten, die erklären, dass Boyusec und die MSS "eng miteinander verbunden" seien und dass Boyusec eine Tarnfirma für die MSS zu sein scheine.

Bilddaten © 2017 DigitalGlobe, Kartendaten © 2017

Boyusec befindet sich in Zimmer 1103 des Huapu Square West Tower in Guangzhou, China.

Die Zusammenarbeit von Boyusec mit seinem anderen „Kooperationspartner“, Guangdong ITSEC, ist weniger gut dokumentiert. Wie weiter unten dargelegt wird, kam Recorded Future bei seinen Untersuchungen zu dem Schluss, dass Guangdong ITSEC einer vom MSS geführten Organisation namens China Information Technology Evaluation Center (CNITSEC) untersteht und dass Boyusec seit 2014 mit Guangdong ITSEC an einem gemeinsamen aktiven Verteidigungslabor arbeitet.

Guangdong ITSEC ist eines in einem landesweiten Netzwerk von Sicherheitsbewertungszentren, die von CNITSEC zertifiziert und verwaltet werden. Laut chinesischen Staatsmedien wurde die ITSEC in Guangdong im Mai 2011 zum sechzehnten landesweiten Zweig der CNITSEC. Die Website von Guangdong ITSEC listet sich in der Kopfzeile auch als CNITSEC's Guangdong Office auf.

Laut einer wissenschaftlichen Studie , die in China und Cybersecurity: Espionage, Strategy, and Politics in the Digital Domain veröffentlicht wurde, wird CNITSEC vom MSS geleitet und beherbergt einen Großteil der technischen Cyber-Expertise des Geheimdienstes. CNITSEC wird vom MSS verwendet, um "Schwachstellentests und Bewertungen der Softwarezuverlässigkeit durchzuführen". Laut einer Depesche des US-Außenministeriums aus dem Jahr 2009 wird angenommen, dass China auch Schwachstellen nutzen könnte, die aus den Aktivitäten von CNITSEC für Geheimdienstoperationen abgeleitet wurden. Der Direktor von CNITSEC, Wu Shizhong, bezeichnet sich sogar selbst als MSS, unter anderem für seine Arbeit als stellvertretender Leiter des chinesischen Nationalen Komitees für Informationssicherheitsstandards noch im Januar 2016.

Die Recherche von Recorded Future ergab mehrere Stellenanzeigen auf chinesischsprachigen Job-Websites wie jobs.zhaopin.com, jobui.com, und kanzhun.com seit 2015, Boyusec gab 2014 ein gemeinsam mit Guangdong ITSEC gegründetes gemeinsames aktives Verteidigungslabor (ADUL genannt) bekannt. Boyusec erklärte, dass die Mission des gemeinsamen Labors darin bestehe, risikobasierte Sicherheitstechnologie zu entwickeln und Benutzern innovative Möglichkeiten zur Netzwerkverteidigung bereitzustellen.

Stellenausschreibung, in der Boyusec das gemeinsame Labor mit Guangdong ITSEC hervorhebt. Der übersetzte Text lautet: „Im Jahr 2014 haben die Guangzhou Boyu Information Technology Company und Guangdong ITSEC eng zusammengearbeitet, um ein gemeinsames aktives Verteidigungslabor (ADUL) einzurichten.“

Abschluss

Der Lebenszyklus von APT3 ist ein Sinnbild dafür, wie das MSS Operationen sowohl im menschlichen als auch im Cyberbereich durchführt. Nach Angaben chinesischer Geheimdienstexperten besteht das MSS aus nationalen, provinziellen und lokalen Elementen. Zu vielen dieser Elemente, insbesondere auf Provinz- und lokaler Ebene, gehören Organisationen mit gültigem öffentlichen Auftrag , die als Deckmantel für Geheimdienstoperationen des MSS fungieren. Zu diesen Organisationen zählen unter anderem Think Tanks wie CICIR, zu anderen zählen Regierungen auf Provinzebene und lokale Ämter.

Im Fall von APT3 und Boyusec dient dieses MSS-Betriebskonzept als Modell zum Verständnis der Cyberaktivität und des Lebenszyklus:

• Boyusec verfügt zwar über eine Website, eine Online-Präsenz und eine erklärte Mission im Bereich „Informationssicherheitsdienste“, nennt jedoch nur zwei Partner, nämlich Huawei und Guangdong ITSEC.
• Intrusiontruth und der Washington Free Beacon haben Boyusec mit der Unterstützung und Beteiligung an Cyberaktivitäten im Auftrag der chinesischen Geheimdienste in Verbindung gebracht.
• Die Open-Source-Recherche von Recorded Future hat ergeben, dass es sich bei Boyusecs anderem Partner um eine Außenstelle einer Zweigstelle des MSS handelt. Es ist dokumentiert, dass Boyusec und Guangdong ITSEC seit mindestens 2014 zusammenarbeiten.
• Jahrzehntelange akademische Forschung dokumentiert ein Operationsmodell des MSS, das Organisationen auf allen staatlichen Ebenen nutzt, die scheinbar keinen Geheimdienstauftrag haben und als Deckmantel für die Geheimdienstoperationen des MSS dienen.
• Der Website von Boyusec zufolge gibt es nur zwei Kooperationspartner: Mit einem davon (Huawei) arbeitet es bei der Unterstützung chinesischer Geheimdienste zusammen, mit dem anderen, Guangdong ITSEC, handelt es sich eigentlich um einen Außenstandort für eine Zweigstelle des MSS.

Grafik, die die Beziehung zwischen MSS und APT3 zeigt.

Auswirkungen

Die Implikationen sind klar und weitreichend. Die Recherchen von Recorded Future führen dazu, dass APT3 mit einem hohen Maß an Vertrauen dem chinesischen Ministerium für Staatssicherheit und Boyusec zugeschrieben wird. Boyusec hat eine dokumentierte Geschichte der Produktion bösartiger Technologien und der Zusammenarbeit mit den chinesischen Geheimdiensten.

APT3 ist die erste Bedrohungsakteursgruppe, die mit hoher Wahrscheinlichkeit direkt dem MSS zugeschrieben wird. Unternehmen in Branchen, die Opfer von APT3 geworden sind, müssen nun ihre Strategien anpassen, um sich gegen die Ressourcen und Technologie der chinesischen Regierung zu verteidigen. In dieser realen David-gegen-Goliath-Situation benötigen Kunden sowohl intelligente Sicherheitskontrollen und -richtlinien als auch umsetzbare und strategische Bedrohungsinformationen.

APT3 ist nicht einfach nur eine weitere Cyber-Bedrohungsgruppe, die böswillige Cyber-Aktivitäten ausführt. Untersuchungen deuten darauf hin, dass Boyusec zum Aktivposten des MSS gehört und dass seine Aktivitäten die politischen, wirtschaftlichen, diplomatischen und militärischen Ziele Chinas unterstützen.

Das MSS leitet die Anforderungen an die Sammlung von Informationen von der Staats- und Parteiführung ab, von denen viele alle fünf Jahre in offiziellen Regierungsrichtlinien, den sogenannten Fünfjahresplänen, allgemein definiert sind. Viele Opfer von APT3 sind in Sektoren gefallen, die im jüngsten Fünfjahresplan hervorgehoben wurden, darunter grüne/alternative Energien, verteidigungsbezogene Wissenschaft und Technologie, Biomedizin und Luft- und Raumfahrt.