Försvar Offensivt Underrättelser

Analys av Kinesiska Cyberoperationer 2020

Monday, February 8, 2021

UnderrättelserAnalyserKina

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Detta är en artikel om kinesiska cyberoperationer som utförts under 2020. Troligtvis en av de första av sitt slag som publiceras på svenska, utan krav på betalning. Artikeln redogör för bland annat vilka motiv som legat bakom operationerna och vilka nationer som varit mål för dessa. Artikeln är ett resultat av att studera och analysera publikt tillgängliga rapporter, dokument och artiklar.

Artikeln är en fortsättning på Kinas underrättelseverksamhet där det kinesiska spionaget på en övergripande nivå beskrevs. I den här artikeln gräver vi djupare i hur Kina använder cyberdomänen för att främja sina politiska ambitioner.

Nyckelinsikter

  • Kinas cyberoperationer sträcker sig över hela världen, men det finns tydliga indikationer på att till Kina angränsande eller närliggande länder utsätts för betydligt fler operationer än övriga länder.
  • Underrättelseinhämtning är vanligt förekommande i samband med försvarspolitiskt känsliga situationer som exempelvis spänningarna vid Gula havet. Det är då vanligt att statsledningar och andra offentliga verksamheter, eller sådana verksamheter med koppling till dessa utsätts.
  • Kinas verksamhet för att genomföra cyberoperationer är omfattande. Den är inte nödvändigtvis avancerad, men de har onekligen ett stort antal resurser tillgängliga för verksamheten. De utnyttjar kända sårbarheter och har uthållighet.

Inledning

Detta är en rapport om kinesisk underrättelseverksamhet med ett ensidigt fokus på genomförda cyberoperationer under 2020. Arbetet med att samla in, studera och analysera underlag samt sammanställa denna rapport har tagit ungefär 8 timmar. Det är också, mig veterligen, en av de första i sitt slag (kanske första) som publiceras publikt, på svenska och ej bakom paywalls.

Gillar du artikeln? Då skulle jag uppskatta om du delade den i ditt nätverk. Saknar du något? Då vill jag väldigt gärna veta vad jag kan förbättra så att ännu fler förhoppningsvis kan få finna värde i artikeln. Skicka ett mejl till christoffer@cstromblad.com , jag svarar garanterat.

Utgångspunkten för artikeln är att besvara följande frågor:

  1. Vilka motiv driver operationerna?
  2. Vilka nationer är mål för verksamheten?
  3. Vilka verksamhetstyper har varit mål?
  4. Vilka metoder används för initialt fotfäste?
  5. Vilken gruppering anses ligga bakom?

Analysmetoden som ligger till grund för rapporten redogörs för i slutet av artikeln.

Jag skulle också vilja tacka följande personer för deras hjälp med artikeln.

  • Martin Bergling på RISE som vänligt nog ställde upp med korrekturläsning av artikeln innan publicering, tack!
  • Mattias Wåhlén på Truesec som lämnade synpunkter och feedback på diverse detaljer i artikeln. Tack!

Analys

Vilka motiv driver operationerna?

Utöver de fall (nio) som jag inte har lyckats klarlägga motivet bakom faller motiven i huvudsak in under följande områden:

  1. Övervakning av minoriteter och enskilda (5)
  2. Underrättelseinhämtning (5)
  3. Försvarsteknologi (4)
  4. Intellektuella rättigheter/kapital (3)

I ett udda fall finns utpressning med som motiv. Denna bedömer jag dock som något tveksam och bör snarare betraktas som en outlier.

Övervakningen av minoriteter och enskilda kan exemplifieras av att de genomfört riktade operationer mot forum för individer i Hongkong.

Och avseende underrättleseinhämtning avses sådan typ av information som kan anses röra försvarspolitiska intressen exempelvis länder (Vietnam, Taiwan) i anslutning till Gula havet i södra delen av Kina.

Det finns även flera fall där försvarsteknolgi och annat intellektuellt kapital stått högt.

Vilka nationer är mål?

Kinas underrättelseverksamhet spänner över i princip hela världen vilket korrelerar mot vad Nicholas Eftimiades skriver i sin bok Chinese Espionage - Operations and Tactics .

Däremot står det även klart att nationer i direkt eller nära anslutning till Kina utsätts för fler operationer än andra länder där Japan, Australien och Hongkong sticker ut.

Sverige finns representerad i två av dessa operationer och då utsattes flertalet verksamhetstyper exempelvis offentlig sektor, hälso- och sjukvård, bank- och finans och telekom.

Av de analyserade operationerna finns inga där Sverige som enskild nation utsatts. Det är dock viktigt att poängtera att underlagen med stor sannolikhet inte skall betraktas som representativa utan endast indikativa.

Vilka verksamhetstyper utsätts?

Det finns operationer som haft extremt stor spridning, men dessa typer av operationer är också mycket ovanliga. Flera operationer har riktats mot offentlig sektor och statsledning. Därutöver har flertalet operationer riktats mot universitet. När universitet utsätts för angrepp kan det handla om att utnyttja den tillit som finns till institutionen. Universitet figurerar således flera gånger som mål i kinesiska cyberoperationer.

Utöver detta har även flertalet operationer riktats mot hälso- och sjukvård, läkemedel, försvarsindustri och teknologi. Motivet bakom dessa har många gånger varit inhämtning av intellektuellt kapital, forskning och annat rörande covid.

Vilka metoder används för initialt fotfäste?

Dessvärre har det i en majoritet av operationerna inte kunnat klargöras hur det initiala fotfästet har etablerats. Det har endast varit möjligt att konstatera ett intrång med exekvering av skadlig kod som resultat. Bortsett från denna något mörka bild av förmågan att upptäcka initiala intrång finns några framträdande metoder.

Spearphishing med hjälp av attachments och länkar T1566-001 /T1566-002 är mycket vanligt förekommande. I vissa operationer har sårbarheter utnyttjats för kodexekvering och i andra har de förlitat sig på att användaren kan luras till att exekvera den skadliga koden.

Drive-by Compromise T1189 och då oftast genom vattenhåls-attacker som ofta används i samband med motiven övervakning av minoriteter och enskilda. En vattenhåls-attack innebär att angriparen placerar skadlig kod på sådana platser en målanvändare ofta besöker. Det kan exemeplvis handla om forum eller nyhetssajter.

Flera operationer har även utnyttjat sårbarheter i publikt tillgängliga tjänster och applikationer T1190 . Endast i ett fåtal operationer har aktörer observerats använda tidigare okända sårbarheter.

Vilka grupperingar ligger bakom?

Här träder attributionsproblematiken tydligt fram och visar sitt fula tryne. I flera fall framgår det inte vilken specifik gruppering som ligger bakom. En mycket aktiv grupp som dock kunnat kopplas till flertalet angrepp är APT41, eller Winnti, men där motiven sällan kunnat identifieras.

Flertalet grupperingar finns representerade, men det är svårt att dra några egentliga slutsatser utifrån det analyserade underlaget. Utöver att de kunnat kopplas till Kinesiska intressen finns inte så mycket mer att säga.

Detta är den fråga som varit svårast att besvara. Däremot är det viktigt att poängtera att det finns metoder för att knyta samman aktörer och operationer. Gemensamma infrastrukturer, likheter mella olika versioner av skadlig kod, modus, mål och motiv. Allt kan användas för att göra relativa bedömningar om hur troligt det är att en aktör genomfört en eller flera operationer.

Sammanfattning

Kinas cyberoperationer under 2020 talar för en omfattande förmåga avseende olika typer av inhämtning. Den är inte alltid avancerad men den är framför allt uthållig. De fortsätter tills åtkomst “beviljas”. De utnyttjar kända sårbarheter och sällan okända såbarheter, så kallade 0-days. Metoderna kan många gånger kopplas till motiv, och genom motiv vilka som sannolikt kommer bli föremål för en operation.

Det finns många grupperingar i Kina som genomför cyberoperationer men motiven kan nästan alltid knytas till någon form av övergripande viljeinriktning. Decentraliserade men centralt styrda skulle man kunna säga.

Framtida analysfrågor

I samband med analysen och framställandet av den här rapporten har flera frågor bubblat upp till ytan som skulle kunna vara värdefulla att utforska i mer detalj.

  1. Varför är den initiala intrångsvektorn ofta okänd?
  2. Kan vi genom observerade metoder och infrastrukturer avgöra motiv med utgångspunkt i tidigare genomförda operationer?
  3. Kan vi härleda mål och motiv från officiella publikationer?
  4. Kan den decentraliserade styrningen av cyberoperationer vara medveten för att ge Kina förnekbarhet av genomförda operationer?
  5. Kan en operations komplexitet avgöras genom att studera det hierarkiska avståndet mellan en utförande gruppering och den uppdragsgivande verksamheten? Vad säger detta om träning, förmåga och resurstillgång?

Avslutande kommentarer

I samband med arbetet och den här analysen har det väckts många nya frågor. Det finns även mer information att diskutera men som inte riktigt kunnat få en naturlig plats i den här artikeln. Jag planerar därför att i en ytterligare, framtida, artikel i mer detalj beskriva hur den kinesiska “verksamheten” fungerar och inriktas.

Exempel på frågor som skulle adresseras i denna är hur de tränar sina anställda, hur inriktningar formuleras utifrån nationella direktiv osv.

Och för er med åtkomst så fortsätter vi diskussionen och analysen på https://forum.cstromblad.com

Appendix A - Metod

Ett urval av publikt tillgängliga rapporter och analyser har gjorts och totalt har 25 källor identifierats och bedömts vara relevanta för frågeställningarna.

Varje källa har sedan studerats och kvalitativt analyserats för att undersöka om utredningsfrågorna kan besvaras. Där en källa inte kan anses besvara en fråga har en generell kategori använts som t.ex. Okänd, Oklart osv.

Därefter har jag försökt tolka resultaten och vad de eventuelt kan betyda. Exempelvis genom att kvantitativt titta på antalet operationer per område och försöka tolka innebörden av detta i förhållande till de genomförda operationerna.

Biases

Det finns flertalet biases som är väsentliga att lyfta fram i sammanhang av den här analysen. Först och främst har vi en urvalsbias. De tillgängliga underlagen visar endast på sådant som upptäckts.

Appendix B - Referenser, källor samt klassificering

Utförande gruppering

  • Enskilda 22
  • Judgement Panda, Zirconium 25
  • Karma Panda 5
  • Lotus Panda, Naikon APT 13
  • Okänd 7 , 9 , 10 , 14 , 17 , 20 , 21 , 24
  • Mustang Panda 23
  • Pirate Panda 12
  • Storm Cloud 11
  • Stalker Panda, Tick 1 , 4 , 18
  • Wicked Panda, APT41, Winnti 2 , 3 , 8 , 16 , 19
  • Vicious Panda 6 , 15

Motiv bakom intrång

Målländer

  • Australien 8 , 13 , 20 , 21 , 22
  • Belarus 15
  • Belgien 22
  • Brunei 13
  • Burma 13
  • Danmark 8
  • Finland 8
  • Filippinerna 8 , 13
  • Frankrike 8
  • Förenade Arabemiraten 8
  • Hongkong 2 , 3 , 7 , 9
  • Indien 8
  • Indonesien 13
  • Italien 8 , 23
  • Japan 1 , 4 , 5 , 8 , 17 , 18 , 22
  • Kanada 8
  • Litauen 22
  • Malaysia 8
  • Mexiko 8
  • Mongoliet 6 , 15
  • Nederländerna 22
  • Polen 8
  • Qatar 8
  • Ryssland 5 , 15
  • Saudiarabien 8
  • Schwiez 8
  • Singapore 8
  • Spanien 22
  • Storbritannien 8 , 22
  • Sverige 8 , 22
  • Sydkorea 5 , 19 , 22
  • Taiwan 16 , 19 , 24
  • Tibet 10 , 11
  • Thailand 13
  • Tyskland 22
  • Vietnam 12 , 13
  • USA 8 , 14 , 22 , 25

Angripen vertikal

  • Bank och finans 8
  • Energiförsörjning 22
  • Forskning 13
  • Försvarsindustri 1 , 4 , 17 , 18
  • Hälso- och sjukvård 8 , 14 , 21
  • Idella organisationer 8
  • Individer 7 , 9
  • Industri 8 , 22
  • Kritisk infrastruktur 21
  • Legal services 8
  • Läkemedel 8 , 14 , 22
  • Media 8
  • Oklart 5 , 15 , 20
  • Olja och gas 8 , 15 , 16
  • Offentlig sektor 6 , 8 , 15 , 21 , 24
  • Petroleum 8
  • Regering 8 , 12 , 13 , 20 , 24
  • Religiösa organisationer 10 , 11 , 23
  • Samhällsviktig verksamhet 8 , 21
  • Spel och underhållning 19 , 22
  • Teknologi 8 , 13 , 22 , 24
  • Telekommunikation 8 , 15
  • Tillverkning 8
  • Transport 8
  • Universitet 2 , 3 , 8 , 21 , 22 , 25

Initialt fotfäste

  • Betrodda relationer #T1199 13
  • Drive-by Compromise #T1189 7 , 9 , 10 , 11
  • Exploatera publika tjänster och applikationer #T1190 8 , 2022
  • Externt tillgängliga fjärrtjänster #T1133 8
  • Giltiga inloggningsuppgifter 20
  • Okänt 1 , 2 , 3 , 6 , 14 , 15 , 16 , 17 , 18 , 19 , 24
  • Spearphishing attachment #T1566-001 4 , 5 , 12 , 13 , 20 , 23
  • Spearphishing link #T1566-002 20 , 25

Kodexekvering

Denna kategori valde jag att exkludera från analysen efter ett tag då jag bedömt att analysen skulle börja bli spretig. Detta kan istället få bli föremål för en framtida analys.

  • Användare exekverar #T1204-002
    • Excel makron 6 , 12
    • Skadliga program 11
  • Okända sårbarheter #T1203 1 , 22
  • Opatchade, men kända sårbarheter #T1203 6 , 7 , 9 , 20 , 22

Referenser

  1. https://www.zdnet.com/article/trend-micro-antivirus-zero-day-used-in-mitsubishi-electric-hack/
  2. https://www.bleepingcomputer.com/news/security/winnti-group-infected-hong-kong-universities-with-malware/
  3. https://www.welivesecurity.com/2020/01/31/winnti-group-targeting-universities-hong-kong/
  4. https://www.bleepingcomputer.com/news/security/japanese-defense-contractors-kobe-steel-pasco-disclose-breaches/
  5. https://blog.talosintelligence.com/2020/03/bisonal-10-years-of-play.html
  6. https://research.checkpoint.com/2020/vicious-panda-the-covid-campaign/
  7. https://blog.trendmicro.com/trendlabs-security-intelligence/operation-poisoned-news-hong-kong-users-targeted-with-mobile-malware-via-local-news-links/
  8. https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html
  9. https://documents.trendmicro.com/assets/Tech-Brief-Operation-Poisoned-News-Hong-Kong-Users-Targeted-with-Mobile-Malware-via-Local-News-Links.pdf
  10. https://securelist.com/holy-water-ongoing-targeted-water-holing-attack-in-asia/96311/
  11. https://www.volexity.com/blog/2020/03/31/storm-cloud-unleashed-tibetan-community-focus-of-highly-targeted-fake-flash-campaign/
  12. https://www.anomali.com/blog/anomali-suspects-that-china-backed-apt-pirate-panda-may-be-seeking-access-to-vietnam-government-data-center
  13. https://research.checkpoint.com/2020/naikon-apt-cyber-espionage-reloaded/
  14. https://www.fbi.gov/news/pressrel/press-releases/peoples-republic-of-china-prc-targeting-of-covid-19-research-organizations
  15. https://decoded.avast.io/luigicamastra/apt-group-planted-backdoors-targeting-high-profile-networks-in-central-asia/
  16. https://www.cyberscoop.com/cpc-ransomware-winnti-taiwan-china/
  17. https://www.reuters.com/article/us-mitsubishi-elec-cyber/japan-defence-ministry-investigating-potential-hack-of-next-gen-missile-details-asahi-idUSKBN22W05J
  18. http://www.asahi.com/ajw/articles/13388776
  19. https://www.welivesecurity.com/2020/05/21/no-game-over-winnti-group/
  20. https://www.cyber.gov.au/sites/default/files/2020-12/ACSC-Advisory-2020-008-Copy-Paste-Compromises.pdf
  21. https://www.9news.com.au/national/cyber-attack-australia-scott-morrison-government-private-sector-breach-of-security/e621ae47-f810-4fa7-9c11-3caa3b09f4dc
  22. https://www.justice.gov/opa/press-release/file/1295981/download
  23. https://go.recordedfuture.com/hubfs/reports/cta-2020-0728.pdf
  24. https://www.reuters.com/article/us-taiwan-cyber-china/taiwan-says-china-behind-cyberattacks-on-government-agencies-emails-idUSKCN25F0JK
  25. https://blogs.microsoft.com/on-the-issues/2020/09/10/cyberattacks-us-elections-trump-biden/
UnderrättelserAnalyserKina

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Har du läst dom här?

Sammanfattning: Crowdstrike Global Threat Report 2021

Kinesiskt spionage - Operationer och taktiker