Überwachungssoftware richtet sich gegen ethnische Minderheitengruppe

Das Lookout Threat Intelligence Team hat vier Android-Überwachungstools entdeckt, die eingesetzt werden, um die ethnische Minderheitengruppe der Uiguren in den Zielfokus zu nehmen. Die Untersuchung zeigt, dass diese vier miteinander verbundenen Malware-Tools Teil einer sehr viel größeren mAPT-Kampagne (mAPT = mobile Advanced Persistent Threat) sind, die seit Jahren aktiv ist. 

Die Sicherheitsforscher haben die Surveillanceware-Familien – SilkBean, DoubleAgent, CarbonSteal und GoldenEagle – bereits seit etwa 2015 beobachtet.

Die Bedrohungsakteure hinter der mAPT verfügen über ein mobiles Arsenal von mindestens vier weiteren Android-Überwachungstools, allgemein bekannt als HenBox, PluginPhantom, Spywaller und DarthPusher. Durch Untersuchung der Surveillanceware-Apps, ihrer Signaturzertifikate und der unterstützenden „Command-and-Control-Infrastruktur“ (C2), haben wir Verbindungen zwischen diesen Malware-Tools und den dahinterstehenden Akteuren aufdecken können. Auf diese Verbindungen werden wir in diesem Bericht näher eingehen. Es gibt Hinweise darauf, dass einige der in diesem Bericht beschriebenen mAPT-Aktivitäten auch öffentlich mit Desktop-APT-Aktivitäten in China in Zusammenhang gebracht werden – ein Bereich, bei dem immer häufiger mobile Malware-Tools zum Einsatz kommen. Die Lookout-Forscher haben Hinweise darauf, dass das Hauptziel dieser Aktivität die uigurische ethnische Minderheit in China ist, aber dass die Instrumente ebenfalls eingesetzt wurden, um außerhalb Chinas lebende Uiguren sowie Tibeter und Muslime auf der ganzen Welt auszuspionieren.

Die Titel und die In-App-Funktionalität lassen vermuten, dass die Zielpersonen eine Vielzahl von Sprachen sprechen, darunter: uighurisch (in allen seinen vier Schriftsystemen: arabisch, russisch, uighurisch, kyrillisch und chinesisch), englisch, arabisch, chinesisch, türkisch, paschtunisch, persisch, malaiisch, indonesisch, usbekisch und Urdu/Hindi.

Der Zeitplan für die Entwicklung und die Ausrichtung der Malware-Familien scheint außerdem mit den chinesischen nationalen Sicherheitsrichtlinien und den sogenannten Anti-Terrorismus-Bemühungen abgestimmt zu sein, die von der chinesischen Regierung festgelegt wurden. Dies verweist möglicherweise auf ein breiteres strategisches Ziel hinter der Kampagne. Das Research-Team von Lookout hat ab dem Jahr 2015 einen Höhepunkt in der Entwicklung von Malware beobachtet, der mit der „Kampagne des harten Vorgehens gegen gewalttätigen Terrorismus“ zusammenfällt. Einer Kampagne in Xinjiang, die im Mai 2014 begann sowie mit der Erstellung der nationalen strategischen Sicherheitsrichtlinien, dem nationalen Sicherheitsgesetz und dem Terrorismusbekämpfungsgesetz im Jahr 2015 zusammenfällt. Darüber hinaus stimmen die Sprachen, Länder und Dienste, auf die mAPT abzielt, mit Chinas offizieller Liste der „26 sensiblen Länder“ überein, die laut öffentlicher Berichterstattung als Zielkriterien von den chinesischen Behörden verwendet wurde. Wir haben Belege dafür gefunden, dass die diskutierten Malware-Kampagnen auf mindestens fünfzehn verschiedene Länder abzielen.

Es wurde bereits früher beobachtet, dass eine Variante von DoubleAgent sich gegen das tibetische Volk richtet. Die in der aktuellen Untersuchung gefundenen Beweise legen nahe, dass die als GoldenEagle klassifizierte Überwachungssoftware dasselbe Ziel haben könnte. SilkBean hingegen ist eine relativ kleine Malware-Familie, die sich gegen uigurische Einzelpersonen richtet. Die gemeinsame Infrastruktur zwischen SilkBean und DoubleAgent legt nahe, dass beide von ein und demselben Akteur betrieben werden – und das seit vielen Jahren. Dieselbe Infrastruktur wurde auch bei der Kommunikation mit Samples der Malware-Familien CarbonSteal und HenBox, PhantomPlugin, Spywaller und DarthPusher beobachtet.

Die Recherche-Experten haben diese vier neuartigen und noch nicht öffentlich bekannten Android-Surveillance-Tools miteinander in Verbindung gebracht. Die Malware-Aktivität zielt in erster Linie auf die uighurische Volksgruppe ab. Die Malware-Familien teilen sich dabei eine „Command-and-Control-Infrastruktur (C2), Signatur-Zertifikate und eine überlappende Code-Struktur, die auf gemeinsame Entwickler und eine viel größere, laufende Malware-Kampagne hinweist. Einige C2-Infrastrukturen stehen auch im Zusammenhang mit APT-Aktivitäten zur Verwendung der XSLCmd-Hintertür, die mit GREF in Verbindung gebracht und über die bereits berichtet wurde.

Die wichtigsten Ergebnisse auf einen Blick: 

Lookout hat vier neue Android-Surveillanceware-Tools entdeckt.

• Diese Familien sind SilkBean, DoubleAgent, CarbonSteal und GoldenEagle.
• Das Hauptziel dieser Surveillanceware-Apps ist es, persönliche Benutzerdaten zu sammeln und an einen Command-und-Control-Server zu exfiltrieren. Jede Familie hat ganz eigene, einzigartige Prioritäten und Techniken zur Datensammlung. 
• Die Sicherheitsforscher von Lookout können einen Teil der zugehörigen Infrastruktur bis ins Jahr 2015 zurückverfolgen, zusammen mit Veränderungen bei der Ausstattung der Tools.
• Die betreffenden Überwachungstools wurden in Verbindung mit anderen bekannten Malware-Familien wie HenBox, PluginPhantom, Spywaller und Darth Pusher verwendet.

Ziel dieser Malware-Familien sind in erster Linie in China ansässige, aber auch weltweit verteilt lebende Uiguren sowie Tibeter und vermutlich die muslimische Gemeinschaft in Ländern weltweit.

• Die Titel der Anwendungen und die In-App-Funktionalität der Malware-Samples deuten darauf hin, dass im Zielfokus aller vier Überwachungsgerätefamilien die uigurische muslimische Minderheit steht, die ursprünglich ausXinjiang, China, stammt und dort ansässig ist. Einige Anwendungen und C2-Domänen scheinen entweder legitime oder böswillige App-Stores von Drittanbietern zu imitieren, in uigurischer Sprache und mit Schwerpunkt auf Apps und Diensten, deren Zielgruppe Uiguren sind.
• Es gibt Hinweise darauf, dass uigurische Gemeinschaften in mindestens fünfzehn anderen Ländern ebenfalls ins Visier genommen werden. Die Inhalte der Malware-Samples verweisen auf lokale Dienste und Nachrichtenagenturen in Ländern wie der Türkei, Syrien, Kuwait, Indonesien, Kasachstan und China.
• DoubleAgent und GoldenEagle richten sich auch gegen Tibeter, was sich anhand ihrer Betitelung und auf Basis der öffentlichen Berichterstattung10 folgern lässt.
• Betitelungen der Anwendungen gibt es derzeit in mindestens 10 verschiedenen Sprachen: uigurisch (in allenseinen vier Schriftsystemen: arabisch, russisch, uigurisch-kyrillisch und chinesisch), englisch, arabisch, chinesisch, türkisch, paschtunisch, persisch, malaiisch, indonesisch, usbekisch und Urdu/Hindi.

Alle vier Malware-Familien sind durch eine gemeinsame Command-and-Control-Infrastruktur, Signaturzertifikate sowie Code- und Zielüberschneidungen miteinander verbunden.

• Stichproben von DoubleAgent und SilkBean teilen sich eine C2-Infrastruktur, was darauf hindeutet, dass hinter dem Einsatz dieser Malware-Tools derselbe Akteur steckt.
• Die Infrastruktur, die 2018 mit dem als GREF bekannten Akteur allgemein in Verbindung gebracht wurde, steht auch direkt mit CarbonSteal-Stichproben in Verbindung. In der zurückliegenden öffentlichen Berichterstattung wurde GREF auch als APT15, Ke3chang, Mirage, Vixen Panda and Playful Dragon bezeichnet.
• Die Überschneidung bei den nicht kompromittierten Zertifikaten weist darauf hin, dass eine Kombination aus diesen Tools entweder von einer einzigen Gruppe von mAPT-Akteuren oder einer Reihe verschiedener Akteure genutzt werden, um ähnlich gelagerte Kampagnen gegen Uiguren und andere muslimische Bevölkerungsteile weltweit durchzuführen.

Der Report sollte hier zum Download erhältlich sein.

www.lookout.com