APT1-Akteure operieren von China aus
Die chinesische Volksbefreiungsarmee und der geregelte Werktag: FireEye bestätigt Feststellungen des US-Justizministeriums zu APT1-Cyberangriffen
Über eine zweijährige Zeitspanne hinweg (Januar 2011 bis Januar 2013) konnten 1.905 Vorgänge bestätigt werden, bei denen sich APT1-Akteure von 832 verschiedenen IP-Adressen aus per Remote Desktop in ihre Hop-Infrastruktur eingeloggt haben
(23.06.14) - Mandiant, Teil von FireEye, kann Daten vorweisen, die Erkenntnisse des US-Justizministeriums zu den APT1-Angriffen untermauern. Kürzlich hat das US-Justizministerium die Anklage von fünf Mitgliedern der Einheit 61398 der chinesischen Volksbefreiungsarmee bekannt gegeben. Dabei handelt es sich um diejenige Einheit des Generalstabs der Volksbefreiungsarmee, deren Aktivitäten im letztjährigen APT1-Report von Mandiant aufgedeckt wurden. Bei der Veröffentlichung des Reports verurteilte China dessen Inhalt unter Verweis auf einen Mangel an stichhaltigen Beweisen. Infolge der Anklage durch das US-Justizministerium hat sich dies geändert: Statt einem Mangel an Beweisen lautet der neue Vorwurf von China, dass die Beweise erfunden sind, und fordert die USA auf, diesen "Fehler" sofort zu korrigieren.
Unter den Beweisen, die in der Anklageschrift aufgeführt werden, befindet sich Beweisstück F (Seite 54-56 des Reports), welches drei Schaubilder zeigt, die auf dynamischen DNS-Daten beruhen. Diese Schaubilder weisen darauf hin, dass die angeklagten Mitglieder der Einheit 61398 ihre Domainnamen mittels eines Dynamic-DNS-Dienstleisters umgeleitet haben. Dies geschah im Zeitraum von 2008 bis 2013 während chinesischer Geschäftszeiten. Arbeitszeiten, besonders für Regierungsbehörden, sind in China leicht vorhersagbar, wie Online-Reiseportale feststellen:
"Regierungsbehörden und -institutionen sowie Schulen öffnen montags bis freitags um 8 Uhr oder 8:30 Uhr und schließen um 17 Uhr oder 17:30 Uhr mit einer zweistündigen Mittagspause. An Samstagen, Sonntagen und öffentlichen Feiertagen sind sie in der Regel geschlossen."
Beweisstück F zeigt einen starken Anstieg der Aktivität von Montag bis Freitag um ca. 8 Uhr nach Chinesischer Standardzeit (Shanghai), eine grob zweistündige Pause um die Mittagszeit, und einen weiteren Anstieg von ungefähr 14 bis 18 Uhr. Am Wochenende gab es nur sehr wenige Wechsel in der Dynamic-DNS-Namensauflösung.
Mandiant (ein Unternehmen, das zu FireEye gehört) kann diese Daten des US-Justizministeriums mit eigenen Daten untermauern, die nicht im APT1-Report enthalten waren. In dem Report wurden folgende Angaben gemacht:
• >> Über eine zweijährige Zeitspanne hinweg (Januar 2011 bis Januar 2013) konnten 1.905 Vorgänge bestätigt werden, bei denen sich APT1-Akteure von 832 verschiedenen IP-Adressen aus per Remote Desktop in ihre Hop-Infrastruktur eingeloggt haben.
• >> Von diesen 832 IP-Adressen waren 817 (98,2 Prozent) chinesische Adressen und gehörten größtenteils zu vier großen Netzblöcken in Shanghai, die Mandiant "APT1-Heimnetzwerke" nennt.
• >>Um eine möglichst nahtlose Nutzererfahrung zu ermöglichen, fordert das Remote-Desktop-Protokoll Client-Anwendungen dazu auf, einige wichtige Details an den Server weiterzuleiten, wie zum Beispiel den Client-Hostnamen und die Tastaturbelegung beim Client. In 1.849 der insgesamt 1.905 APT 1 Remote-Desktop-Sessions, die Mandiant in zwei Jahren beobachtet hat – das sind 97 Prozent – lautete die Bezeichnung der Tastaturbelegung "Chinesisch (vereinfacht) – US-Tastenbelegung”.
Die Analyse der Tageszeiten und Wochentage, an denen die 1.905 Remote-Desktop (RDP)-Verbindungen stattfanden, war im ursprünglichen Report nicht enthalten. Wird diese Analyse als Säulendiagramm aufbereitet, offenbart sie ein leicht erkennbares Muster:
Die APT1-Akteure haben also die überwältigende Mehrzahl der 1.905 RDP-Verbindungen von 2011 bis 2013 an Wochentagen (montags bis freitags) sowie von 8 Uhr bis 12 Uhr, 14 Uhr bis 18 Uhr sowie 19 bis 22 Uhr CST durchgeführt. In einigen Fällen hat das APT1-Personal offenbar auch am Wochenende gearbeitet, aber das scheint ganz klar die Ausnahme und nicht die Regel gewesen zu sein.
Hier noch einmal zusammenfassend die Aussagen, die über die 1.905 RDP-Verbindungen getroffen werden können:
>> 98,2 Prozent der IP-Adressen, die für den Log-in an Hop-Punkten genutzt wurden (was dabei hilft, gegenüber den angegriffenen Organisationen den wahren Ursprung zu verschleiern), gehörten zu Netzwerken in Shanghai.
>> 97 Prozent der Verbindungen wurden von Computern aus durchgeführt, die die Tastenbelegung "Chinesisch (vereinfacht)" nutzten.
>> 97,5 Prozent der Verbindungen erfolgten werktags nach chinesischer Standardzeit.
>> 98,8 Prozent der Verbindungen erfolgten zwischen 7 Uhr und Mitternacht nach chinesischer Standardzeit.
>> 75 Prozent fanden zwischen 8 Uhr und 12 Uhr oder zwischen 14 Uhr und 18 Uhr statt.
>> 15 Prozent fanden zwischen 19 Uhr und 22 Uhr statt.
Die einfachste Schlussfolgerung, die diese Faktenlage erlaubt, ist dass die APT1-Akteure in China operieren, und zwar mit größter Wahrscheinlichkeit in Shanghai. Die Zeitdaten, die Mandiant von aktiven RDP-Logins über einen Zeitraum von zwei Jahren gewonnen hat, passen zu den Zeitdaten, die das US-Justizministerium anhand einer anderen Quelle erlangt hat (aktive Dynamic-DNS-Umleitung über einen Zeitraum von fünf Jahren – siehe oben). Diese Datensätze zeigen, dass APT1 entweder in China während der dortigen Geschäftszeiten operiert oder dass die APT1-Akteure sehr große Anstrengungen unternehmen, um es so aussehen zu lassen, als ob sie dort tätig wären.
Die Daten, die den obigen Diagrammen zugrunde liegen, wurden als Rohdaten archiviert. Mandiant ist überzeugt, dass jeder IT-Netzwerk-Experte deren Echtheit vor Gericht bestätigen würde.
Unabhängig von der Debatte über den Ursprung dieses Angriffs wird FireEye weiterhin beobachten, wie sich diese Bedrohungen entwickeln, um die Zeitspanne von deren Entdeckung bis zu deren Abwehr weiter zu verkürzen. Denn es ist offensichtlich, dass diese und andere Akteure ihre Bemühungen ständig fortsetzen werden. (FireEye: ra)
FireEye: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.