Blackberry-Studie deckt Wirtschaftsspionage auf Jahrzehntelange Spionage in Linux-Servern durch chinesische APTs

Redakteur: Ulrike Ostler

Blackberry hat nach eigenen Angaben die Spionageaktivität fünf zusammenhängender APT-Gruppen (APT = Advanced Persistent Threat) aufgedeckt, die im Interesse der chinesischen Regierung arbeiten. Nach den Ergebnisse der Studie greifen diese seit fast einem Jahrzehnt systematisch Linux-Server, Windows-Systeme und mobile Geräte an und sind dabei bislang unentdeckt geblieben.

Anbieter zum Thema

Die Untersuchung von Blackberry „Decade of RATs, Cross-Platform APT Espionage Attacks , Targeting Linux, Windows and Android“ bieten die macher zum Download an.
Die Untersuchung von Blackberry „Decade of RATs, Cross-Platform APT Espionage Attacks , Targeting Linux, Windows and Android“ bieten die macher zum Download an.
(Bild: Blackberry)

Mit dem chinesischen Neujahrsfest im Februar dieses Jahres begann das Jahr der Ratte. Doch in der IT steht RAT für „Remote Access Trojaner“. Der Titel der Blackberry-Studie lautet „Decade of the RATs“.

Sie legt plattformübergreifende APT-Spionage-Angriffe auf Linux, Windows und Android offen und bietet so Einblicke in die allgegenwärtige Wirtschaftsspionage, die auf geistiges Eigentum abzielt – ein Thema, das nach Angaben des kanadischen Justizministeriums im Mittelpunkt von mehr als 1.000 offenen Ermittlungen steht. Insbesondere die plattformübergreifende Eigenschaft der Angriffe sei besorgniserregend.

Das macht auch vor dem Homeoffice nicht halt. Denn während die Mehrheit der Mitarbeiter das Büro verlassen hat, um die Verbreitung des Coronavirus einzudämmen, verbleiben die Datenbestände in den Rechenzentren der Unternehmen, von denen die meisten unter Linux laufen. Und das ist kein kleines Problem: Mithilfe von Linux laufen fast alle führenden Websites, 75 Prozent aller Webserver, 98 Prozent der Hochleistungsrechner weltweit und 75 Prozent der großen Cloud-Service-Anbieter (Netcraft, 2019, Linux Foundation 2020).

Wissen und Spekulation

Die meisten großen Organisationen verlassen sich auf Linux, um Websites und Proxy-Netzwerkverkehr zu verwalten und wichtige Daten zu sichern. Die Blackberry-Studie untersucht, wie die APTs die „Always on, always available“-Eigenschaft von Linux-Servern genutzt haben, um sich Zugang zu verschaffen. Eine defensive Abdeckung innerhalb von Linux-Umgebungen sei bestenfalls unausgereift, heißt es, und robuste Produkte für den Endpunktschutz (EPP) und die Endpunkterkennung und -reaktion (EDR) würden oft nur unzureichend genutzt oder verfügten nicht über die Fähigkeiten, sie zu verteidigen. Unternehmen nutzten Linux-Server zudem häufig als „Netzwerk-Brückenkopf“ für andere Operationen, so dass er laut Studie „ständig eingeschaltet ist und schlecht verteidigt wird“.

Eric Cornelius, Chief Product Architect bei Blackberry, erläutert: „Linux ist in der Regel nicht anwenderorientiert. Die meisten Sicherheitsunternehmen fokussieren sich bei der Entwicklung auf Lösungen, die für das Front-Office und nicht für das Server-Rack entwickelt wurden, so dass der Schutz für Linux nicht ausreicht.“ Die APT-Gruppen hätten diese Sicherheitslücke zu ihren Gunsten ausgenutzt und jahrelang geistiges Eigentum gestohlen, ohne dass es jemand bemerkt habe.

Die in diesem Bericht untersuchten APT-Gruppen seien wahrscheinlich zivile Auftragnehmer, die im Interesse der chinesischen Regierung arbeiteten und bereitwillig Tools, Techniken, Infrastruktur und zielgerichtete Informationen miteinander sowie mit Regierungsvertretern austauschten. Sie hätten bisher unterschiedliche Ziele verfolgt und sich auf ein breites Spektrum zugelegt. Die Veröffentlichung hält jedoch fest, dass zwischen diesen Gruppen eine signifikante Zusammenarbeit bestehe, insbesondere was die Linux-Plattformen anbelange.

Die Untersuchung enthüllt die Verbindung zwischen einem bisher nicht identifizierten Linux Malware-Toolset und eines der größten Linux-Botnets, das je entdeckt wurde. Die entdeckte Malware umfasst zwei Rootkits auf Kernel-Ebene. Dadurch waren die ausführbare Dateien extrem schwer auffindbar, so dass die Anzahl der betroffenen Organisationen ist signifikant sein dürfte, die Dauer der Infektionen langwierig und viele wissen es nicht einmal.

Die in Augenschein genommene Gruppen operieren mit so genannten WINNTI-ähnlichen Tools aufgrund der ausgeprägten Ähnlichkeiten in den verwendeten Werkzeugen, Taktiken und Verfahren (TTPs).Sie zielen systemisch auf Red Hat Enterprise-, CentOS- und Ubuntu-Linux-Umgebungen in einem breiten Spektrum von Branchenvertikalen. Dazu gehören die ursprüngliche WINNTI GROUP, PASSCV, BRONZE UNION, CASPER (LEAD) und eine neu identifizierte Gruppe, die als WLNXSPLINTER verfolgt wird.

Dazu ein Beispiel: Die Hintertür PWNLNX1

Die WINNTI-Gruppe hat eigentlich nur sehr wenige Änderungen an der als PWNLNX1 bezeichneten Hintertür vorgenommen, außer einiger geringfügiger Funktionserweiterungen. Dennoch weist die Mehrzahl der untersuchten Proben eine Null-Erkennungsrate im branchenweit am häufigsten verwendeten Viren-Repository auf.

PWNLNX1 ist für die Arbeit mit einem Local Kernel Module (LKM) konzipiert, wodurch es eine Reihe von Rootkit-Funktionen wie Umgehen von iptables, Verstecken von Dateien, Verstecken von Prozessen, Verstecken von Threads und Verstecken von Netzwerkverbindungen ausführen kann. Es bietet den Angreifern auch die Möglichkeit, Dateien hoch- und herunterzuladen, Dateien und Verzeichnisse aufzuzählen und zu manipulieren, auf eine interaktive Shell zuzugreifen, Datenverkehr und Ports weiterzuleiten und die eingebetteten Command-and-Control (C2)-Server über TCP und UDP sowie über IPv4 und IPv6 zu modifizieren und mit ihnen zu verbinden.

Die Hintertür verschlüsselt ihre Netzrückrufinformationen mit einer einfachen Operation gegen die XOR-Tasten „CB2FA36AAA9541F0“ oder „BB2FA36AAA9541F0“. Die Gruppe, die CASPER (alias LEAD) genannte wird, verwendet in ihrer Version von PWNLNX1 einen weiteren einzigartigen XOR-Schlüssel: „1A2FB36DAC95E1F9“. Die entsprechenden C2-Domänenwerden dann mithilfe von externen Servern aufgelöst, die in den Dateien fest kodier sind; entweder „8.8.8[.]8“ oder „114.114.114[.]114“.

Bildergalerie

Im Folgenden wird ein Beispiel für die verschlüsselten und entschlüsselten Konfigurationen vorgestellt, zusammen mit dem einfachen Python-Snippet zur Durchführung dieser Operation ohne Beibehaltung der Nullwerte (siehe: Abbildung 1 bis 3):

Blackberry-Forscher waren in der Lage, die Nutzung dieser Hintertür mit mehreren zuvor öffentlich identifizierten Einbruchssets zu verknüpfen. Sie taten dies auf der Grundlage der Beobachtungen der unterschiedlichen C2-Infrastruktur, der Ähnlichkeiten der Subdomänen und anderer einzigartiger Merkmale.

Angesichts der unterschiedlichen Zielsetzungen für jede Gruppe im Linux-Splitterzellen-Quintett wird mit großer Zuversicht bewertet, dass es wahrscheinlich eine Art gemeinsame Richtung, einen Nexus oder zumindest gemeinsame Werkzeuge zwischen den Gruppen gegeben hat.

Darüber hinaus identifiziert die Untersuchung zwei neue Beispiele für Android-Malware und bestätigt damit einen Trend, der bereits in dem früheren Bericht von Blackberry „Mobile Malware and APT Espionage: Prolific, Pervasive, and Cross-Platform“ festgestellt wurde. In diesem wurde untersucht, wie APT-Gruppen mobile Malware in Kombination mit traditioneller Desktop-Malware in laufenden, plattformübergreifenden Überwachungs- und Spionagekampagnen eingesetzt haben.

Android und Cloud Computing betroffen

Eines der Android-Malware-Beispiele ähnelt sehr stark dem Code eines kommerziell erhältlichen Penetrationstest-Tool, jedoch wurde die Malware fast zwei Jahre vor dem ersten Kauf des kommerziellen Tools erstellt. Die Studie untersucht ferner mehrere neue Varianten bekannter Malware, die vom Virenschutz durch die Verwendung von Code-Signatur-Zertifikaten als Adware verbreitet werden. Mit dieser Taktik soll die Angriffsrate erhöht werden, da gehofft wird, dass die roten AV-Fahnen nur als ein weiteres Zeichen ständiger Warnhinweise bezüglich Adware abgetan werden.

Die Forschung zeigt auch eine Entwicklung der Angreifer hin zur Nutzung von Cloud-Service-Anbietern für die Command-and-Control (C2)- und Datenexfiltration-Kommunikation, die als vertrauenswürdiger Netzwerkverkehr erscheinen. John McClurg, Chief Information Security Officer bei Blackberry, fasst das untersuchte Spektrum zusammen: „Unsere Analyse zeichnet das Bild einer Spionagetätigkeit nach, die auf das Rückgrat der Netzwerkinfrastruktur großer Organisationen abzielt und systemischer ist, als bisher angenommen wurde.“

Link: Der Bericht „Decade of the RATs“zum Download.

Dieser Beitrag erschien zuerst auf unserem Schwesterportal Datacenter-Insider.

(ID:46529795)