Stell dir vor, du bist ein Einbrecher. Sie haben sich für ein Luxusapartment der gehobenen Klasse entschieden, ein Gebäude mit mehreren Picassos im Penthouse. Sie könnten Wochen oder Monate damit verbringen, die Wohnung zu durchsuchen, den Zeitplan jedes Bewohners zu studieren und die Schlösser an allen Türen zu analysieren. Sie könnten durch den Papierkorb graben, um Hinweise zu erhalten, welche Geräte Alarme haben, und jede Permutation der Codes durchgehen. Oder Sie könnten auch einfach die Schlüssel des Supers stehlen.
Laut einer Anklageschrift des Justizministeriums am Donnerstag hat China dem Rest der Welt seit 2014 genau das angetan. Zu diesem Zeitpunkt entschied sich die Elite-APT10 - kurz für „Advanced Persistent Threat“- des Landes, nicht nur einzelne Unternehmen in ihren Reihen anzugreifen Langjährige Bestrebungen, geistiges Eigentum zu stehlen, konzentrieren sich jedoch auf sogenannte Managed Service Provider. Dies sind die Unternehmen, die IT-Infrastrukturen wie Datenspeicherung oder Kennwortverwaltung bereitstellen. Wenn Sie MSPs kompromittieren, haben Sie einen viel einfacheren Zugang zu all diesen Clients. Sie sind die Super.
„MSPs sind unglaublich wertvolle Ziele. Das sind Leute, die Sie bezahlen, um privilegierten Zugang zu Ihrem Netzwerk zu haben “, sagt Benjamin Read, Senior Manager für Cyberspionage-Analyse bei FireEye. "Es ist ein potenzieller Einstieg in Hunderte von Organisationen."
"Mehr als zwei Drittel der Fälle des Justizministeriums, in denen Geschäftsgeheimnisse gestohlen wurden, hängen mit China zusammen."
Stellvertretender Generalstaatsanwalt Rod Rosenstein
Noch mehr Skaleneffekt: In der Anklageschrift wird unter anderem behauptet, dass APT10 durch das Hacken in einen einzigen in New York ansässigen MSP Daten von Unternehmen in einem Dutzend Ländern, von Brasilien bis zu den Vereinigten Arabischen Emiraten, kompromittieren konnte. Mit einem einzigen Einbruch könnten chinesische Spione in so unterschiedliche Branchen wie Bank- und Finanzwesen, Biotechnologie, Unterhaltungselektronik, Gesundheitswesen, verarbeitendes Gewerbe, Öl und Gas, Telekommunikation und mehr vordringen. (Die vollständige Anklage befindet sich am Ende dieser Geschichte.)
In der Anklageschrift des DOJ wird auch die APT10-Aktivität umrissen, die sich auf Regierungsbehörden und Verteidigungsunternehmen aus dem Jahr 2006 konzentrierte und einen konventionelleren Ansatz verfolgte. Aber die MSP-Hacks zeigen nicht nur Chinas Hacking-Raffinesse. Sie demonstrieren ihre rücksichtslose Effizienz und Entschlossenheit.
"Mehr als 90 Prozent der Fälle, in denen Wirtschaftsspionage in den letzten sieben Jahren vorgebracht wurde, betreffen China", erklärte der stellvertretende Generalstaatsanwalt Rod Rosenstein auf einer Pressekonferenz, in der die Anklage detailliert beschrieben wurde. "Mehr als zwei Drittel der Fälle des Ministeriums, in denen Geschäftsgeheimnisse gestohlen wurden, sind mit China verbunden."
Da die Spannungen zwischen China und den USA im Handel und an anderen Fronten weiter zunehmen, lohnt es sich, ihre Funktionsweise genauer zu betrachten - und zu prüfen, ob Hoffnung besteht, sie zu stoppen.
Nieder mit MSP
Ein APT10-Hack von MSPs beginnt wie so viele andere in den letzten Jahren: mit einer sorgfältig gestalteten E-Mail. "C17-Antennenprobleme", lautete die Betreffzeile einer APT10-Nachricht, die im Rahmen der Kampagne 2006 im Posteingang eines Hubschrauberherstellers einging. Bei der Textkopie handelte es sich um eine einfache Aufforderung zum Öffnen der angehängten Datei, einem Microsoft Word-Dokument mit der Bezeichnung „12-204 Side Load Testing“. Die E-Mail stammte anscheinend von einem Unternehmen der Kommunikationstechnologie. Es schien alles sehr legitim zu sein.
Aber das ist es natürlich nicht. Die Word-Anhänge dieser Spear-Phishing-Versuche waren böswillig. Sie enthielten angepasste Remotezugriffstrojaner, mit denen Hacker auf den Computer zugreifen und ihn steuern konnten, sowie Tastenanschlagsprotokolle zum Stehlen von Benutzernamen und Kennwörtern.
Nach der Installation wird die Malware an von APT10 kontrollierte Domänen zurückgemeldet. Die Gruppe verwendete dynamische Domain Name System-Dienstanbieter, um diese Domains zu hosten. Dadurch konnten sie die Erkennung vermeiden, indem sie die IP-Adresse im Handumdrehen hochschalteten. Wenn zum Beispiel ein Sicherheitsfilter klug wurde und versuchte, eine bekannte bösartige Domain zu blockieren, konnte APT10 einfach die zugehörige IP-Adresse ändern und den fröhlichen Weg fortsetzen.
Die Anklageschrift des Bundes bietet von dort aus meistens einen hochrangigen Blick, aber Chinas Hacker orientierten sich an einem Standard-Spielbuch. Sobald sie sich auf einem Computer eingerichtet hatten, luden sie noch mehr Malware herunter, um ihre Berechtigungen zu erweitern, bis sie fanden, wonach sie suchten: Daten.
Bei den MSP-Angriffen bestand diese Malware anscheinend hauptsächlich aus benutzerdefinierten Varianten von PlugX, RedLeaves (die zuvor mit chinesischen Akteuren in Verbindung gebracht wurden) und QuasarRAT, einem Open-Source-Trojaner für den Remotezugriff. Die Malware wurde auf dem Computer eines Opfers als legitim eingestuft, um die Erkennung von Viren zu verhindern, und sie kommunizierte mit einer der 1.300 für die Kampagne registrierten eindeutigen Domänen APT10.
Kurz gesagt, APT-Hacker haben sich in die Lage versetzt, nicht nur auf MSP-Systeme zuzugreifen, sondern sie auch als Administrator zu durchsuchen. Mit diesen Berechtigungen werden so genannte Remotedesktopprotokoll-Verbindungen mit anderen MSP-Computern und Client-Netzwerken hergestellt. Denken Sie daran, wann immer ein IT-Mitarbeiter Ihren Computer zur Fehlerbehebung übernommen und Photoshop installiert hat. Es ist so, nur dass es sich nicht um einen freundlichen Kollegen handelt, sondern um chinesische Hacker, die nach Geheimnissen suchen.
Und wann haben sie diese Geheimnisse entdeckt? Die Hacker würden die Daten verschlüsseln und gestohlene Anmeldeinformationen verwenden, um sie auf einen anderen MSP oder ein anderes Clientsystem zu verschieben, bevor sie wieder auf eine APT10-IP-Adresse übertragen werden. Sie würden auch die gestohlenen Dateien von den kompromittierten Computern löschen, um eine Entdeckung zu vermeiden. Jedes Mal, wenn ein privates Sicherheitsunternehmen APT10-Domänen identifizierte, gab die Gruppe diese schnell auf und wechselte zu anderen. Je leiser sie waren, desto länger konnten sie in einem MSP verstaut bleiben.
"Sie sind anspruchsvoll", sagt Read. "Sie beziehen ihren Erfolg ebenso aus dem 'beständigen' Teil der 'fortgeschrittenen beständigen Bedrohung' wie aus dem 'fortgeschrittenen'."
Die Hacker machten sich letztendlich mit Hunderten von Gigabyte an Daten von Dutzenden von Unternehmen davon, so die Anklageschrift. Während das Justizministerium keine konkreten Opfer nannte, hat das Ministerium für innere Sicherheit eine Seite eingerichtet, die Hinweise für jedes Unternehmen enthält, das glaubt, dass es betroffen sein könnte, einschließlich Links zu Tools zur Aufdeckung von Eindringlingen. Dies dürfte hilfreich sein, da die Anklage gegen zwei chinesische Hacker die Ambitionen des Landes wahrscheinlich nicht bremsen wird.
Kann nicht mit dem Waffenstillstand umgehen
All dies mag überraschend erscheinen, da die Vereinigten Staaten und China vor drei Jahren zu einer Übereinkunft gekommen sind, dass sie sich nicht gegenseitig in die Interessen des Privatsektors einmischen würden.
Fairerweise hat die in der Anklageschrift beschriebene APT10-Aktivität vor dieser Entspannung begonnen. Aber es hörte auch nicht auf, nachdem die Vereinbarung in Kraft getreten war: Das DOJ behauptet, dass die beiden chinesischen Staatsangehörigen, die in der Anklage angeklagt wurden, Zhu Hua und Zhang Shilong, bis 2018 aktiv waren. Und andere prominente, wahrscheinlich chinesische Hacks, die auf dieses Datum zurückgehen Etwa zur gleichen Zeit, wie die des Starwood Preferred Guest-Systems, blieb sie jahrelang aktiv.
"Dieser Bereich wird auf absehbare Zeit weiterhin ein Spannungsfeld zwischen den USA und China sein."
J. Michael Daniel, ehemaliger Koordinator für Cybersicherheit im Weißen Haus
China hat in den letzten Jahren auch aktiv die Grenzen des Waffenstillstands geprüft und sich gegen Verteidigungsunternehmen, Anwaltskanzleien und andere Stellen gewandt, die die Grenzen zwischen öffentlichem und privatem Eigentum, geistigem Eigentum und allgemeineren vertraulichen Informationen verwischen. Es hat aktiv und erfolgreich Spione in den USA rekrutiert.
„Kein Land stellt eine größere und schwerwiegendere langfristige Bedrohung für die Wirtschaft und die Cyberinfrastruktur unseres Landes dar als China. Chinas Ziel ist es, einfach ausgedrückt, die USA als weltweit führende Supermacht abzulösen, und sie wenden illegale Methoden an, um dorthin zu gelangen “, sagte FBI-Direktor Christopher Wray auf der Pressekonferenz am Donnerstag. "Obwohl wir fairen Wettbewerb begrüßen, können und werden wir illegales Hacken, Stehlen oder Betrügen nicht tolerieren."
Ein Grund, warum China fortbesteht: Es sieht möglicherweise nichts falsch daran. "Aus meiner Sicht wird dieser Bereich auf absehbare Zeit weiterhin ein Spannungsfeld zwischen den USA und China sein", sagt J. Michael Daniel, der als Koordinator für Cybersicherheit in der Obama-Administration tätig war. „Die Frage ist also, wie Sie diesen Reibungsbereich auf eine Weise bewältigen, die für uns produktiv ist.“
Eine zunehmend populäre Methode scheint zu sein, nicht nur chinesische Hacker, sondern auch Hacker aus Russland und Nordkorea zu benennen und zu beschämen. Und obwohl es sicherlich ein Signal aussendet - und Reisepläne auf den Kopf stellen wird, die Zhu und Zhang möglicherweise hatten -, wird es die Pläne Chinas wahrscheinlich nicht wesentlich beeinträchtigen.
"Was diese Gruppen gefährden, beruht auf viel größeren strategischen Erfordernissen als der Frage, ob zwei Personen im Urlaub nach Kalifornien fahren können", sagt FireEye's Read.
Außerdem gehen die gegenwärtigen Spannungen zwischen China und Amerika weit über das Hacken hinaus. Es ist ein Handelskrieg im Gange, und eine Führungskraft von Huawei wartet auf eine mögliche Auslieferung. All diese Interessen vermischen sich, und Aggressionen an verschiedenen Fronten nehmen zu und verblassen wie eine Art geopolitisches Mischpult.
In der Zwischenzeit werden Chinas Hacker die Welt bei jeder Gelegenheit blind machen. Zumindest sind sie jetzt möglicherweise etwas weniger anonym.
