Check Point Research (CPR) enttarnt laufende chinesische Spionage-Kampagne gegen militärische Forschungseinrichtungen Russlands. Laut den Sicherheitsforschern nutzen die Angreifer unter dem Deckmantel des russischen Gesundheitsministeriums Spear-Phishing-E-Mails, um gezielt zu attackieren. Ziel sind empfindliche Informationen der russischen Behörden.
Die von CPR abgefangenen E-Mails enthielten außerdem verseuchte Dokumente, welche die westlichen Sanktionen gegen Russland als Lockvogel in ihrer Namensgebung missbrauchten.
Die Experten von Check Point ordnen die Spionage-Kampagne staatlich unterstützten Hackern aus China zu, denn die Taktiken, Techniken und Verfahren dieser Operation weisen zahlreiche Überschneidungen mit fortgeschrittenen und langjährigen chinesischen Spionage-Akteuren auf.
CPR hat drei Opfer ausgemacht, zwei in Russland und eines in Weißrussland. Die russischen Opfer gehören zu einer Muttergesellschaft des staatlichen russischen Rüstung-Konglomerats Rostec Corporation, Russlands größter Holding für die Radio-Elektronik-Industrie.
Die Haupttätigkeit der russischen Opfer besteht in der Entwicklung und Herstellung von Systemen für die elektronische Kriegsführung, von militärischen, speziellen funkelektronischen Bordgeräten, luftgestützten Radarstationen und Mitteln zur staatlichen Identifizierung.
Die Forschungseinrichtungen sind auch an Avionik-Systemen für die Zivilluftfahrt, der Entwicklung einer Vielzahl ziviler Produkte, wie medizinischer Ausrüstung, und an Kontrollsystemen für die Energie-, Verkehrs- und Maschinenbauindustrie beteiligt.
Die Phishing-E-Mails enthielten am 23. März die Betreffzeile "List of <target institute name> persons under US sanctions for invading Ukraine" und einen Link zu einer von einem Angreifer kontrollierten Website, die das russische Gesundheitsministerium imitierte – inklusive offiziellem Titel und Siegel – sowie ein betrügerisches Dokument als Anhang.
Am selben Tag ging eine weitere E-Mail an eine unbekannte Einrichtung in Weißrussland mit dem Betreff: "US spread of deadly pathogens in Belarus". Die IT-Kampagne weist zahlreiche Überschneidungen mit fortschrittlichen und langjährigen chinesischen Hacker-Akteuren auf, darunter APT10 und Mustang Panda.
Fast elf Monate lang waren die Angreifer in der Lage, sich der Entdeckung zu entziehen, weil sie neue, unbekannte Tools, einen ausgeklügelten mehrschichtigen Loader und eine Hintertür mit der Bezeichnung SPINNER verwenden.
Zunächst senden sie ihren Zielpersonen eine speziell gestaltete Phishing-E-Mail. Diese enthält ein Dokument, worin die westlichen Sanktionen gegen Russland als Lockvogel verwendet werden.
Wenn das Opfer das Dokument öffnet, lädt es den schädlichen Code vom Server der Angreifer herunter, der eine Hintertür auf dem Computer des Opfers installiert und heimlich ausführt. Diese Backdoor sammelt die Daten über den infizierten Computer und sendet sie an den Angreifer zurück.
Auf der Grundlage dieser Informationen kann der Angreifer die Hintertür nutzen, um weitere Befehle auf dem Computer des Opfers auszuführen oder ständig vertrauliche Daten von ihm zu sammeln.
Itay Cohen, Head of Research bei Check Point: „Wir haben eine laufende Spionage-Operation gegen russische militärische Forschungseinrichtungen aufgedeckt, die von erfahrenen und raffinierten, von China unterstützten Hackern durchgeführt wurde. Unsere Untersuchung zeigt, dass dies Teil einer größeren Aktion ist, die seit etwa einem Jahr gegen Einrichtungen mit Russland-Bezug läuft.“
„Wir entdeckten zwei gezielte Angriffe in Russland und gegen eine Einrichtung in Weißrussland. Der wohl gewitzteste Teil der Kampagne ist die Social-Engineering-Komponente, denn die Abstimmung der Angriffe und die verwendeten Köder sind raffiniert. Aus technischer Sicht ist die Qualität der Tools und ihrer Verschleierung sogar für APT-Gruppen überdurchschnittlich gut.“
„Ich glaube, dass unsere Ergebnisse ein weiterer Beweis dafür sind, dass Spionage eine systematische und langfristige Anstrengung im Dienste der strategischen Ziele Chinas ist, um technologische Überlegenheit zu erreichen. In dieser Untersuchung haben wir gesehen, wie staatlich unterstützte chinesische Angreifer den anhaltenden Krieg zwischen Russland und der Ukraine ausnutzen und fortschrittliche Tools gegen einen eigentlich als strategisch angesehenen Partner einsetzen.“