China

Die Forscher der Insikt Group ® verwendeten die proprietäre Recorded Future Network Traffic Analysis und RAT-Controller-Erkennung sowie gängige Analysetechniken, um eine Cyberspionage-Kampagne zu identifizieren und zu profilieren, die einer mutmaßlich vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppe zugeschrieben wird, die wir unter dem Namen RedDelta verfolgen.

Zu den Datenquellen gehören die Recorded Future ® -Plattform, DNSDB von Farsight Security, SecurityTrails, VirusTotal, Shodan, BinaryEdge und gängige OSINT-Techniken.

Dieser Bericht dürfte vor allem für Netzwerkverteidiger des privaten und öffentlichen Sektors sowie für in Asien präsente Nichtregierungsorganisationen von Interesse sein, ebenso wie für alle, die sich für die chinesische Geopolitik interessieren.

Executive Summary

Seit Anfang Mai 2020 gerieten unter anderem der Vatikan und das katholische Bistum Hongkong unter die zahlreichen mit der katholischen Kirche verbundenen Organisationen, die von RedDelta ins Visier genommen wurden, einer vom chinesischen Staat gesponserten und von der Insikt Group verfolgten Bedrohungsaktivitätsgruppe. Diese Reihe mutmaßlicher Netzwerkeinbrüche zielte auch auf die Hong Kong Study Mission in China und das Päpstliche Institut für Außenmissionen (PIME) in Italien ab. Vor dieser Kampagne wurde nicht öffentlich bekannt gegeben, dass diese Organisationen Ziele chinesischer Bedrohungsgruppen sind.

Diese Netzwerkeinbrüche erfolgten im Vorfeld der erwarteten Erneuerung des wegweisenden vorläufigen Abkommens zwischen China und dem Vatikan aus dem Jahr 2018 im September 2020, ein Abkommen, das Berichten zufolge dazu führte, dass die Kommunistische Partei Chinas (KPCh) mehr Kontrolle und Aufsicht über die historisch verfolgte katholische Untergrundgemeinschaft des Landes erlangte. Neben dem Heiligen Stuhl selbst ist ein weiteres wahrscheinliches Ziel der Kampagne der derzeitige Leiter der Hongkonger Studienmission in China, dessen Vorgänger als eine wichtige Rolle bei dem Abkommen von 2018 angesehen wurde.

Der mutmaßliche Eingriff in den Vatikan würde RedDelta Einblicke in die Verhandlungsposition des Heiligen Stuhls vor der Erneuerung des Abkommens im September 2020 bieten. Die gezielte Bekämpfung der Hong Kong Study Mission und ihrer katholischen Diözese könnte auch eine wertvolle Informationsquelle für die Überwachung der Beziehungen der Diözese zum Vatikan und ihrer Haltung zur Demokratiebewegung in Hongkong inmitten weit verbreiteter Proteste und des jüngsten umfassenden nationalen Sicherheitsgesetzes Hongkongs darstellen.

Zwar gibt es erhebliche Überschneidungen zwischen den beobachteten TTPs von RedDelta und der Bedrohungsaktivitätsgruppe, die öffentlich als Mustang Panda bezeichnet wird (auch bekannt als BRONZE PRESIDENT und HoneyMyte), aber es gibt ein paar bemerkenswerte Unterschiede, die uns dazu bewegen, diese Aktivität als RedDelta zu bezeichnen:

• Die von RedDelta in dieser Kampagne verwendete PlugX-Version verwendet eine andere C2-Verkehrsverschlüsselungsmethode und verfügt über einen anderen Konfigurationsverschlüsselungsmechanismus als herkömmliches PlugX.
• Es wurde nicht öffentlich bekannt gegeben, dass Mustang Panda die in dieser Kampagne eingesetzte Malware-Infektionskette verwendet hat.

Zusätzlich zu den Angriffen auf Einrichtungen mit Verbindungen zur katholischen Kirche stellte die Insikt Group auch fest, dass RedDelta gezielt Strafverfolgungs- und Regierungsbehörden in Indien sowie eine Regierungsorganisation in Indonesien ins Visier nahm.

Abbildung 1: Auswahl der Hauptunterschiede zwischen PlugX-Varianten und der von RedDelta und Mustang Panda verwendeten Infektionskette.

Wichtige Urteile

• Die Angriffe auf Organisationen, die mit der katholischen Kirche in Verbindung stehen, sind wahrscheinlich ein Hinweis auf die Ziele der KPCh, die Kontrolle über die katholische Untergrundkirche zu festigen, die "Religionen" in China zu "sinisieren und den wahrgenommenen Einfluss des Vatikans auf die katholische Gemeinschaft Chinas zu verringern".
• Da RedDelta gezielt Organisationen ins Visier nimmt, die stark den strategischen Interessen Chinas folgen, gemeinsame Tools verwendet, die traditionell von in China ansässigen Gruppen genutzt werden, und es Überschneidungen mit einer mutmaßlich vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppe gibt, geht die Insikt Group davon aus, dass die Gruppe wahrscheinlich im Auftrag der Regierung der Volksrepublik China (VRC) operiert.
• Die identifizierten RedDelta-Eindringlinge weisen Überschneidungen hinsichtlich Infrastruktur, Werkzeugen und Viktimologie mit der Bedrohungsaktivitätsgruppe auf, die öffentlich als Mustang Panda (auch bekannt als BRONZE PRESIDENT und HoneyMyte) gemeldet wurde. Hierzu gehören die Nutzung überlappender Netzwerkinfrastrukturen und eine ähnliche Viktimologie, die dieser Gruppe in öffentlichen Berichten zuvor zugeschrieben wurde, sowie die Verwendung von Schadsoftware, die typischerweise von Mustang Panda verwendet wird, wie etwa PlugX, Poison Ivy und Cobalt Strike.

Hintergrund

China und die katholische Kirche

Viele Jahre lang haben staatlich geförderte chinesische Gruppen religiöse Minderheiten in der VR China ins Visier genommen, insbesondere diejenigen innerhalb der sogenannten "Fünf Gifte", wie tibetische Gemeinschaften, Falun Gong und uigurische muslimische Gemeinschaften. Die Insikt Group hat öffentlich über Aspekte dieser Aktivitäten berichtet, wie z.B. unsere Erkenntnisse über RedAlpha, die ext4-Hintertür und die Scanbox-Kneipenkampagnen, die sich gegen die tibetische Zentralverwaltung, andere tibetische Einrichtungen und die Islamische Partei Turkestans richten. Zuletzt wurde in einer US-Anklageschrift vom Juli 2020 festgestellt, dass E-Mails chinesischer christlicher Religionspersönlichkeiten ins Visier genommen wurden – ein in Xi'an ansässiger Pastor sowie ein Pastor einer Untergrundkirche in Chengdu, der später von der Regierung der VR China verhaftet wurde, und zwar von zwei Auftragnehmern, die angeblich im Auftrag des chinesischen Ministeriums für Staatssicherheit (MSS) tätig waren. Regionale Zweigstellen des chinesischen Ministeriums für öffentliche Sicherheit (MPS) waren ebenfalls stark an der digitalen Überwachung ethnischer und religiöser Minderheiten in der VR China beteiligt, insbesondere durch das Xinjiang Public Security Bureau (XPSB) im Fall der uigurischen Muslime.

Historisch gesehen hat die VR China eine sehr turbulente Beziehung zum Vatikan und seinem Leitungsgremium, dem Heiligen Stuhl. Insbesondere die Anerkennung von Bischöfen innerhalb der historisch verfolgten "Untergrund"-katholischen Kirche Chinas, die traditionell dem Vatikan und ihrer Beziehung zu Taiwan treu ist, durch den Heiligen Stuhl hat seit den 1950er Jahren dazu geführt, dass es keine offiziellen Beziehungen mehr gibt. Die KPCh empfand dieses Verhalten als Einmischung des Heiligen Stuhls in religiöse Angelegenheiten in China. Im September 2018 erzielten die VR China und der Heilige Stuhl ein wegweisendes vorläufiges Abkommen für zwei Jahre, das einen wichtigen Schritt auf dem Weg zur Erneuerung der diplomatischen Beziehungen darstellte.

Im Rahmen des vorläufigen Abkommens würde China wieder mehr Kontrolle über die Untergrundkirchen erlangen, und der Vatikan wiederum würde mehr Einfluss auf die Ernennung von Bischöfen innerhalb der staatlich unterstützten "offiziellen" katholischen Kirche gewinnen. Kritiker argumentierten , dass der Deal ein Verrat an der Untergrundkirche sei und zu einer verstärkten Verfolgung ihrer Mitglieder führen würde. Viele der schärfsten Kritikpunkte kamen von Geistlichen in Hongkong. Ein Jahr nach dem Abkommen wurde in zahlreichen Berichten auf das Schweigen des Vatikans als Reaktion auf die Proteste in Hongkong hingewiesen, die Ende 2019 begannen, was Kritiker als Versuch bezeichneten, Peking nicht zu beleidigen und das Abkommen von 2018 nicht zu gefährden.

Bedrohungsanalyse

Überblick über die Eingriffe der katholischen Kirche

Abbildung 2: Intelligenzkarte für RedDelta PlugX C2 Server 167.88.180[.]5.

Mithilfe der RAT-Controller-Erkennung von Recorded Future und Techniken zur Netzwerkverkehrsanalyse konnte die Insikt Group mehrere PlugX C2-Server identifizieren, die von Mitte Mai bis mindestens zum 21. Juli 2020 mit Hosts im Vatikan kommunizierten. Gleichzeitig stellten wir fest, dass die Infrastruktur von Poison Ivy und Cobalt Strike Beacon C2 auch mit Hosts im Vatikan kommunizierte, dass ein Phishing-Köder mit Vatikan-Thema PlugX verbreitete und dass es auf andere mit der katholischen Kirche verbundene Einheiten abgesehen wurde.

Abbildung 3: Lockdokument des Vatikans, das sich gegen den Leiter der Hongkonger Studienmission in China richtet.

Das Lockdokument in Abbildung 3, über das bereits im Zusammenhang mit Links zur Ausrichtung auf die katholische Kirche in Hongkong berichtet wurde, wurde verwendet, um eine angepasste PlugX-Nutzlast zu übermitteln, die mit der C2-Domäne systeminfor[.]com kommunizierte. Bei dem Dokument handelte es sich angeblich um einen offiziellen Brief des Vatikans an den derzeitigen Leiter der Hongkonger Studienmission in China. Derzeit ist unklar, ob die Täter das Dokument selbst erstellt haben oder ob es sich um ein legitimes Dokument handelt, das sie beschaffen und als Waffe einsetzen konnten. Da der Brief direkt an diese Person gerichtet war, ist es wahrscheinlich, dass sie das Ziel eines Spearphishing-Versuchs war. Da diese Probe nach Anzeichen eines Eindringens in das Netzwerk des Vatikans zusammengestellt wurde, ist es außerdem möglich, dass der Phishing-Köder über ein kompromittiertes Vatikan-Konto gesendet wurde. Diese Hypothese wird durch die Identifizierung von Kommunikationen zwischen PlugX C2s und einem Mailserver des Vatikans in den Tagen rund um das Kompilierungsdatum der Probe und ihre erste Übermittlung an öffentliche Malware-Repositories gestützt.

Der Leiter der Hongkonger Studienmission gilt als De-facto-Vertreter des Papstes in China und als wichtiges Bindeglied zwischen Peking und dem Vatikan. Der Vorgänger in dieser Funktion spielte eine Schlüsselrolle bei der Finalisierung des vorläufigen Abkommens zwischen China und dem Vatikan im Jahr 2018, was seinen Nachfolger zu einem wertvollen Ziel für die Informationsbeschaffung vor dem Auslaufen des Abkommens und seiner wahrscheinlichen Verlängerung im September 2020 macht.

Auch weitere mit der katholischen Kirche verbundene Einrichtungen wurden im Juni und Juli 2020 mithilfe von PlugX von RedDelta ins Visier genommen, darunter die Mailserver eines internationalen Missionszentrums mit Sitz in Italien und der katholischen Diözese Hongkong.

Abbildung 4: Lockdokument zum Artikel der Union of Catholic Asian News (links) und Lockdokument Qum, der Vatikan des Islam (rechts).

Die Insikt Group identifizierte zwei weitere Phishing-Köder, die dieselbe angepasste PlugX-Variante luden, die beide mit derselben C2-Infrastruktur wie der Vatikan-Köder kommunizierten. Die erste Stichprobe enthielt ein Köderdokument, das eine Nachrichtensendung der Union of Catholic Asian News über die bevorstehende Einführung des neuen nationalen Sicherheitsgesetzes in Hongkong fälschte. Der Inhalt der Köderdatei mit dem Titel "Über Chinas Plan für die Sicherheits law.doc in Hongkong" stammt aus einem legitimen Artikel der Union of Catholic Asian News. Das andere Beispiel bezieht sich ebenfalls auf den Vatikan und verwendet ein Dokument mit dem Titel "QUM, IL VATICANO DELL'ISLAM.doc" für das Köderdokument. Dieses spezielle Lockvogeldokument bedeutet übersetzt "Qum, der Vatikan des Islam" und bezieht sich auf die iranische Stadt Qum (Qom), ein wichtiges politisches und religiöses Zentrum der Schiiten. Er stammt aus den Schriften von Franco Ometto, einem italienischen katholischen Akademiker, der im Iran lebt. Obwohl das direkte Ziel dieser beiden Köder unklar ist, beziehen sich beide auf die katholische Kirche.

Wir glauben, dass diese Angriffe sowohl auf Chinas Ziel hinweisen, die zunehmende Kontrolle über die katholische Untergrundkirche in China zu festigen, als auch den wahrgenommenen Einfluss des Vatikans auf die chinesischen Katholiken zu verringern. In ähnlicher Weise steht die Fokussierung auf Hongkonger Katholiken inmitten der pro-demokratischen Proteste und des jüngsten umfassenden nationalen Sicherheitsgesetzes im Einklang mit den strategischen Interessen Chinas, insbesondere angesichts der Anti-Peking-Haltung vieler seiner Mitglieder, einschließlich des ehemaligen Hongkonger Bischofs Kardinal Joseph Zen Ze-kiun.

Ausblick

Unsere Recherchen deckten eine mutmaßlich vom chinesischen Staat gesponserte Kampagne auf, die auf mehrere hochkarätige Einrichtungen abzielte, die mit der katholischen Kirche in Verbindung stehen, bevor das provisorische Abkommen zwischen China und dem Vatikan im September 2020 wahrscheinlich erneuert wird. Die sich erwärmenden diplomatischen Beziehungen der KPCh zum Heiligen Stuhl wurden allgemein als ein Mittel interpretiert, um eine verstärkte Aufsicht und Kontrolle über ihre inoffizielle katholische Kirche zu erleichtern. Dies unterstützt auch das weiter gefasste erklärte Ziel der KPCh, die "Religionen" in China zu "sinisieren". Darüber hinaus zeigt es, dass Chinas Interesse an der Kontrolle und Überwachung religiöser Minderheiten nicht auf diejenigen innerhalb der "Fünf Gifte" beschränkt ist, wie die anhaltende Verfolgung und Inhaftierung von Mitgliedern der Untergrundkirche und die Vorwürfe der physischen Überwachung offizieller katholischer und protestantischer Kirchen zeigen.

Der US-Sonderbotschafter für internationale Religionsfreiheit äußerte sich kürzlich besorgt über die Auswirkungen des neuen nationalen Sicherheitsgesetzes in Hongkong und erklärte, es habe das "Potenzial, die Religionsfreiheit erheblich zu untergraben". Die Angriffe auf die katholische Diözese Hongkong sind wahrscheinlich eine wertvolle Geheimdienstquelle, um sowohl die Position der Diözese zur Demokratiebewegung Hongkongs als auch ihre Beziehungen zum Vatikan zu überwachen. Dies ist ein möglicher Vorläufer für eine Verschärfung der Religionsfreiheit innerhalb der Sonderverwaltungszone, insbesondere dort, wo sie mit pro-demokratischen oder anti-Peking-Positionen zusammenfällt.

RedDelta ist eine äußerst aktive Bedrohungsgruppe, die es auf Entitäten abgesehen hat, die für die strategischen Interessen Chinas relevant sind. Trotz der konsequenten Verwendung bekannter Tools wie PlugX und Cobalt Strike durch die Gruppe, der Wiederverwendung von Infrastrukturen und Sicherheitsmängeln im Betrieb deuten diese Einbrüche darauf hin, dass RedDelta weiterhin mit der Erfüllung nachrichtendienstlicher Anforderungen beauftragt wird. Diese Kampagne zielt insbesondere eindeutig auf religiöse Einrichtungen ab. Aus diesem Grund sind wir der Ansicht, dass es für religiöse und nichtstaatliche Organisationen (NGOs) besonders wichtig ist, dies zur Kenntnis zu nehmen und in Netzwerkabwehrmaßnahmen zu investieren, um der Bedrohung durch staatlich geförderte chinesische Bedrohungsaktivitätsgruppen wie RedDelta entgegenzuwirken. Da viele NGOs und religiöse Organisationen nicht in der Lage sind, in Sicherheits- und Erkennungsmaßnahmen zu investieren, erhöht sich die Erfolgswahrscheinlichkeit gut ausgestatteter und hartnäckiger Gruppen erheblich, selbst wenn sie gut dokumentierte Tools, TTPs und eine gut dokumentierte Infrastruktur verwenden.

Empfehlungen zur Netzwerkverteidigung

Recorded Future empfiehlt Benutzern die Durchführung der folgenden Maßnahmen, um mit RedDelta-Aktivitäten verbundene Aktivitäten zu erkennen und einzudämmen:

• Konfigurieren Sie Ihre Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den im Anhang aufgeführten externen IP-Adressen und Domänen eine Warnung ausgeben und ggf. die Blockierung unzulässiger Verbindungsversuche in Erwägung ziehen.

Darüber hinaus empfehlen wir Organisationen, die folgenden allgemeinen Best-Practice-Richtlinien zur Informationssicherheit zu befolgen:

• Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand; insbesondere Betriebssysteme, Antivirensoftware und wichtige Systemdienstprogramme.
• Filtern Sie E-Mail-Korrespondenz und überprüfen Sie Anhänge auf Malware.
• Erstellen Sie regelmäßig Backups Ihres Systems und speichern Sie die Backups offline, vorzugsweise außerhalb des Standorts, sodass auf die Daten nicht über das Netzwerk zugegriffen werden kann.
• Überlegen Sie sich einen gut durchdachten Reaktions- und Kommunikationsplan für Vorfälle.
• Achten Sie auf eine strikte Abschottung unternehmensrelevanter Daten. Achten Sie insbesondere darauf, auf welche Daten jemand mit Zugriff auf ein Mitarbeiterkonto oder -gerät Zugriff hätte (beispielsweise durch Geräte- oder Kontoübernahme per Phishing).
• Erwägen Sie ernsthaft die Einführung eines rollenbasierten Zugriffs, die Beschränkung des unternehmensweiten Datenzugriffs und die Einschränkung des Zugriffs auf vertrauliche Daten.
• Setzen Sie hostbasierte Kontrollen ein. Zu den besten Abwehrmaßnahmen und Warnsignalen zur Abwehr von Angriffen zählen clientbasierte Host-Protokollierungs- und Angriffserkennungsfunktionen.
• Implementieren Sie grundlegende Bereitstellungen und Kontrollen zur Reaktion auf Vorfälle und zur Erkennung, wie Netzwerk-IDS, Netflow-Sammlung, Host-Protokollierung und Web-Proxy, neben der menschlichen Überwachung der Erkennungsquellen.
• Beachten Sie die Sicherheitsstandards Ihrer Partner oder Lieferkette. Die Fähigkeit, Sicherheitsstandards für Ökosystempartner zu überwachen und durchzusetzen, ist ein wichtiger Teil der Sicherheitslage jedes Unternehmens.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.