Bedrohungsforschung

APT40: Techniken und Taktiken einer staatlich gesponserten, chinesischen Hackergruppe

FireEye hat Cyberspionageangriffe auf wichtige Technologien und traditionelle Geheimdienstziele beobachtet, die von einer staatlich gesponserten, chinesischen Hackergruppe durchgeführt werden. Wir nennen diese Gruppe APT40. Sie führt schon mindestens seit 2013 Angriffe durch, mit denen die Modernisierung der chinesischen Marine unterstützt werden soll. Dabei konzentriert sie sich auf das Ingenieur- und Transportwesen sowie die Verteidigungsbranche und insbesondere auf Technologien, die auch für die Seefahrt relevant sind. In der letzten Zeit haben wir gezielte Angriffe auf Länder beobachtet, die für die Neue Seidenstraße wichtig sind. Dazu gehören unter anderem Deutschland, Belgien, Großbritannien, Hongkong, Kambodscha, die Philippinen, Malaysia, Norwegen, Saudi-Arabien, die Schweiz und die USA. Diese chinesische Cyberspionagegruppe war zuvor unter den Bezeichnungen TEMP.Periscope und TEMP.Jumper bekannt.

Angriffe und Ziele

Im Dezember 2016 griff die Marine der Volksrepublik China ein unbemanntes Tauchfahrzeug der US Navy im Südchinesischen Meer auf. Fast zeitgleich führten chinesische Hacker Cyberangriffe durch. Innerhalb eines Jahres gab sich APT40 als Hersteller von Tauchfahrzeugen aus und nahm zudem mehrere Universitäten für Marineforschung ins Visier. Diese Beispiele reihen sich in eine ganze Kette von Aktivitäten zum Erwerb moderner Technologien für die chinesische Marine ein. Das besondere Interesse an diesen Zielen und Technologien deutet darauf hin, dass China den Aufbau einer Hochseemarine plant.

Außerdem führte APT40 Angriffe auf typische regionale Geheimdienstziele durch, vor allem Unternehmen, die in Südostasien aktiv oder in die Streitigkeiten um das Südchinesische Meer verwickelt waren. In jüngster Zeit wurden zudem Beteiligte an Wahlen in Südostasien angegriffen, vermutlich im Zusammenhang mit der Neuen Seidenstraße. Das chinesische Projekt „One Belt, One Road“ (一带一路), auch „Belt and Road Initiative“ (BRI) oder „Neue Seidenstraße“ genannt, ist eine Initiative zum Aufbau von Handelsrouten auf dem Land- und Seeweg. Mit Investitionen in Höhe von einer Billion US-Dollar soll ein Handelsnetzwerk in Asien, Europa, dem Nahen Osten und Afrika entstehen, das Chinas Einfluss auf weitere Länder auszudehnt.


Abbildung 1: Angegriffene Länder und Branchen: Zu den Ländern gehören Deutschland, Großbritannien, Kambodscha, Indonesien, Norwegen, Saudi-Arabien und die USA.

Zuordnung

Wir sind uns relativ sicher, dass es sich bei APT40 um eine staatlich gesponserte, chinesische Cyberspionagegruppe handelt. Die Ziele der Hacker stimmen mit den Interessen Chinas überein und mehrere technische Spuren deuten darauf hin, dass die Gruppe von China aus agiert. So lässt beispielsweise eine Analyse der Zeiten, zu denen die Gruppe aktiv war, einen Standort mit chinesischer Standartzeit (UTC+8) vermuten. Außerdem waren viele C2-Domains (Command and Control) von APT40 ursprünglich bei chinesischen Domainanbietern registriert und „Whois“-Anfragen lieferten chinesische Standortinformationen. Daraus lässt sich schließen, dass die Infrastruktur in China aufgebaut wurde.

APT40 verwendete für seine Angriffe auch mehrere IP-Adressen in China. In einem Fall konnte eine Logdatei von einem Server mit einem offenen Index abgerufen werden. Sie zeigte, dass der Command-and-Control-Node für die auf den Systemen der Opfer eingeschleuste Malware von einer IP-Adresse (112.66.188.28) in Hainan (China) aus verwaltet worden war. Alle Anmeldungen bei diesem C2-Node liefen über Computer mit chinesischen Spracheinstellungen.

Angriffszyklus

Erstes Eindringen

APT40 nutzte verschiedene Methoden, um in Unternehmensnetzwerke einzudringen, darunter Webserver-Exploits, Phishing-Kampagnen zur Verbreitung öffentlich verfügbarer oder benutzerdefinierter Backdoors und strategische Webangriffe.

  • Der klare Favorit sind jedoch Webshells. Je nachdem, wo sie platziert wird, kann eine Webshell kontinuierlichen Zugriff auf die Umgebungen der Opfer bieten, die betroffenen Systeme erneut infizieren oder die laterale Ausbreitung unterstützen.
  • Spear-Phishing-E-Mails enthalten in der Regel schädliche Anhänge, aber es wurden auch Links zu Google Drive-Dokumenten gefunden.
  • APT40 setzt bei seinen Phishing-Manövern zudem auf Exploits und nutzt Sicherheitslücken innerhalb weniger Tage nach der Offenlegung aus. Einige von APT40 ausgenutzte Sicherheitslücken:


Abbildung 2: Der Angriffszyklus von APT40

Festsetzen im Zielsystem

APT40 nutzt diverse Malware-Varianten und Tools, um sich in infiltrierten Systemen festzusetzen. Viele davon sind öffentlich verfügbar oder werden auch von anderen Hackergruppen verwendet. In einigen Fällen verwendete die Gruppe ausführbare Dateien mit Code-Signing-Zertifikaten, um unerkannt zu bleiben.

  • Backdoors wie AIRBREAK, FRESHAIR und BEACON werden zu Beginn des Angriffs implementiert, bevor andere Payloads heruntergeladen werden.
  • In späteren Phasen gehören PHOTO, BADFLICK und CHINA CHOPPER zu den am häufigsten von APT40 verwendeten Backdoors.
  • Zudem stiehlt APT40 oft Anmeldedaten für VPNs und Remote Desktops, um sich dauerhaften Zugang zu infiltrierten Umgebungen zu sichern. Diese Methode ist äußerst effektiv, da die Angreifer weniger auf die Nutzung von Malware angewiesen sind, wenn sie über gültige Anmeldedaten verfügen.

Ausweiten der Zugriffsrechte

APT40 verwendet sowohl benutzerdefinierte als auch öffentlich verfügbare Tools für den Anmeldedatendiebstahl, um Zugriffsrechte auszuweiten und Passwort-Hashes herunterzuladen.

  • Auch Programme für den Diebstahl von Anmeldedaten kommen zum Einsatz, zum Beispiel HOMEFRY, ein Passwort-Dumper/-Cracker (gewöhnlich in Kombination mit den Backdoors AIRBREAK und BADFLICK).
  • Vermutlich werden auch die Windows-Programme Sysinternals ProcDump und Windows Credential Editor (WCE) ausgenutzt, um in Systeme einzudringen.

Ausspionieren der Infrastruktur

APT40 nutzt die gestohlenen Anmeldedaten, um sich bei anderen verbundenen Systemen anzumelden und die Infrastruktur auszuspionieren. Die Hackergruppe greift außerdem auf RDP, SSH, legitime Software in der Umgebung der Opfer, einige native Windows-Funktionen, öffentlich verfügbare Tools und benutzerdefinierte Skripte zu, um mehr über das System in Erfahrung zu bringen.

  • Bei mindestens einem Angriffsopfer nutzte APT40 zudem MURKYSHELL, um alle genutzten IP-Adressen und Netzwerkports zu katalogisieren.
  • Auch native Windows-Befehle wie „net.exe“ werden häufig genutzt, um die Umgebung der Opfer auszuspähen.
  • Zudem kommen in fast allen Angriffsphasen Webshells zum Einsatz. Interne Webserver sind oft nicht mit denselben Sicherheitsfunktionen wie die Schnittstellen zum öffentlichen Internet konfiguriert. Daher sind sie anfälliger für Angriffe von APT40 und ähnlichen technisch versierten Gruppen.

Infiltrieren weiterer Netzwerkkomponenten

APT40 verwendet verschiedenste Methoden, um sich im Netzwerk auszubreiten. Dazu gehören benutzerdefinierte Skripte, Webshells, diverse Tunneling-Techniken und Remote Desktop Protocol (RDP). In der Regel führen die Hacker in jedem neuen angegriffenen System Malware aus, spähen weitere Komponenten aus und stehlen Daten.

  • Auch native Windows-Dienstprogramme wie „at.exe“ für die Aufgabenplanung und „net.exe“ für das Management der Netzwerkressourcen werden für diese Zwecke verwendet.
  • Öffentlich verfügbare Tunneling-Tools kommen zusammen mit speziell für den Angriff entwickelter Malware zum Einsatz.
  • MURKYTOP ist zwar eigentlich ein Befehlszeilentool zum Ausspähen des Netzwerks, aber es kann auch für die Ausbreitung auf andere Komponenten verwendet werden.
  • Außerdem nutzt APT40 öffentlich verfügbare Tools für Brute-Force-Angriffe und ein spezielles Dienstprogramm namens DISHCLOTH, um verschiedene Protokolle und Services anzugreifen.

Langfristiger Systemzugriff

APT40 verwendet vor allem Webshells und andere Backdoors, um sich langfristig Zugriff auf die Umgebungen der Opfer zu sichern und die wichtigsten Systeme in den angegriffenen Netzwerken unter Kontrolle zu behalten.

  • Auch in dieser Angriffsphase ist eine deutliche Vorliebe für Webshells und andere öffentlich verfügbare Tools erkennbar.
  • Zudem werden weiterhin Tools wie AIRBREAK und PHOTO eingesetzt, die bereits für das Festsetzen im Zielsystem genutzt wurden.
  • Einige Malware-Varianten von APT40 umgehen die typischen Erkennungsfunktionen im Netzwerk, indem sie legitime Websites wie GitHub, Google und Pastebin für die erste C2-Kommunikation nutzen.
  • Die Nutzung der gängigen TCP-Ports 80 und 443 trägt ebenfalls dazu bei, dass die Angreiferaktivitäten im regulären Datenverkehr verborgen bleiben.

Erreichen des gesetzten Ziels

Das Ziel ist meist das Aufspüren und Stehlen relevanter Informationen im infiltrierten Netzwerk. Unter Umständen müssen dazu Dateien durch verschiedene Systeme geschleust werden, bevor sie ihr Ziel erreichen. Wir haben beobachtet, dass APT40 Dateien aus den Netzwerken der Opfer konsolidiert, mithilfe des Archivierungstools „rar.exe“ komprimiert und zudem verschlüsselt, bevor sie ausgeschleust werden. Außerdem hat die Gruppe Tools wie PAPERPUSH entwickelt, um die Auswahl und den Diebstahl der Daten zu optimieren.

Ausblick und mögliche Konsequenzen

Obwohl die Aktivitäten zunehmend in das Licht der Öffentlichkeit gerückt sind, führt APT40 weiterhin regelmäßig Cyberspionageangriffe durch. Wir gehen davon aus, dass diese Gruppe auch kurz- bis mittelfristig aktiv bleiben wird. Da APT40 seine Angriffe im Jahr 2017 ausgeweitet und auch Ziele mit Verbindungen zu Wahlen angegriffen hat, gehen wir davon aus, dass sie sich auch in Zukunft nicht nur auf für die Marine interessante Ziele konzentrieren wird. Weitere Angriffe könnten zum Beispiel der Unterstützung der „Belt and Road Initiative“ dienen. Insbesondere rechnen wir damit, dass APT40 regionale Gegner einzelner Projekte der Initiative ins Visier nehmen wird.