_Dieser Bericht beschreibt detailliert eine Kampagne der mit China verbundenen Bedrohungsgruppe RedEcho, die sich gegen den indischen Energiesektor richtet. Die Aktivität wurde durch eine Kombination aus groß angelegter automatisierter Netzwerkverkehrsanalyse und Expertenanalyse identifiziert. Zu den Datenquellen gehören die Recorded Future Platform, SecurityTrails, Spur, Farsight und gängige Open-Source-Tools und -Techniken. Der Bericht dürfte vor allem für Personen von Interesse sein, die sich mit strategischen und operativen Geheimdienstinformationen zu indischen und chinesischen Aktivitäten im Cyberspace befassen.

Recorded Future hat vor der Veröffentlichung der mutmaßlichen Eindringversuche die zuständigen indischen Regierungsbehörden benachrichtigt, um die Reaktion auf den Vorfall und die Untersuchungen zur Behebung der Sicherheitslücken in den betroffenen Organisationen zu unterstützen._

Executive Summary

Die Beziehungen zwischen Indien und China haben sich nach den Grenzkonflikten im Mai 2020, die zum ersten Mal seit 45 Jahren zu Kampftoten zwischen den beiden bevölkerungsreichsten Nationen der Welt führten, erheblich verschlechtert. Infolgedessen kündigte der indische Außenminister Subrahmanyam Jaishankar am 12. Januar 2021 an, dass das Vertrauen zwischen Indien und China "zutiefst gestört" sei. Während Diplomatie und wirtschaftliche Faktoren einen ausgewachsenen Krieg wirksam verhindert haben, was sich in jüngster Zeit durch den bilateralen Rückzug an der Grenze zeigte, bieten Cyberoperationen den Ländern weiterhin eine starke asymmetrische Fähigkeit, Spionage zu betreiben oder sich aus potenziell störenden Gründen innerhalb von Netzwerken zu positionieren.

Seit Anfang 2020 beobachtete die Insikt Group von Recorded Future einen starken Anstieg mutmaßlich gezielter Eindringaktivitäten gegen indische Organisationen durch staatlich geförderte chinesische Gruppen. Ab Mitte 2020 enthüllte die Midpoint-Sammlung von Recorded Future einen starken Anstieg der Nutzung der als AXIOMATICASYMPTOTE bezeichneten Infrastruktur, zu der auch ShadowPad-Befehls- und Kontrollserver (C2) gehören, um große Teile des indischen Energiesektors ins Visier zu nehmen. Zehn verschiedene Organisationen des indischen Energiesektors, darunter vier der fünf Regional Load Despatch Centres (RLDC), die für den Betrieb des Stromnetzes durch den Ausgleich von Stromangebot und -nachfrage verantwortlich sind, wurden als Ziele einer konzertierten Kampagne gegen die kritische Infrastruktur Indiens identifiziert. Zu den weiteren identifizierten Zielen zählten zwei indische Seehäfen.

Unter Verwendung einer Kombination aus proaktiver Erkennung von Angreiferinfrastrukturen, Domänenanalyse und Recorded Future Netzwerkverkehrsanalyse haben wir festgestellt, dass eine Teilmenge dieser AXIOMATICASYMPTOTE-Server einige gemeinsame Infrastrukturtaktiken, -techniken und -verfahren (TTPs) mit mehreren zuvor gemeldeten chinesischen staatlich geförderten Gruppen teilt, darunter APT41 und Tonto Team.

Trotz einiger Überschneidungen mit früheren Gruppen glaubt die Insikt Group derzeit nicht, dass genügend Beweise vorliegen, um die Aktivitäten dieser speziellen Kampagne eindeutig einer bestehenden öffentlichen Gruppe zuzuordnen. Daher verfolgt sie diese weiterhin als eng verwandte, aber eigenständige Gruppe namens RedEcho.

Wichtige Urteile

• Der gezielte Angriff auf kritische Infrastrukturen in Indien bietet zwar nur begrenzte Möglichkeiten zur Wirtschaftsspionage, wir gehen jedoch davon aus, dass erhebliche Bedenken hinsichtlich der möglichen Vorabkonfiguration des Netzwerkzugriffs zur Unterstützung chinesischer strategischer Ziele bestehen.
• Durch die Vorpositionierung von Energieanlagen können mehrere mögliche Ergebnisse erzielt werden, darunter die geostrategische Signalisierung in Zeiten erhöhter bilateraler Spannungen, die Unterstützung von Einflussoperationen oder die Funktion als Vorläufer einer kinetischen Eskalation.
• RedEcho verfügt über eine starke Infrastruktur und die Viktimologie überschneidet sich mit den chinesischen Gruppen APT41/Barium und Tonto Team, während ShadowPad von mindestens fünf verschiedenen chinesischen Gruppen verwendet wird.
• Die hohe Konzentration von IPs, die auf kritische indische Infrastruktureinheiten verweisen, die über mehrere Monate hinweg mit einer bestimmten Teilmenge der von RedEcho verwendeten AXIOMATICASYMPTOTE-Server kommunizierten, deutet auf eine gezielte Kampagne hin. In der Netzwerktelemetrie von Recorded Future gibt es kaum Hinweise auf eine breitere Zielausrichtung.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.