Eine schwer fassbare und ausgeklügelte Cyberspionage-Kampagne, die von der von China unterstützten Winnti-Gruppe orchestriert wurde, ist mindestens seit 2019 unter dem Radar geblieben.
Das israelische Cybersicherheitsunternehmen Cybereason nannte die Aktion „Operation CuckooBees“. Der massive Diebstahl von geistigem Eigentum ermöglichte es dem Bedrohungsakteur, Hunderte von Gigabyte an Informationen zu exfiltrieren.
Zu den Zielen gehörten Technologie- und Produktionsunternehmen, die hauptsächlich in Ostasien, Westeuropa und Nordamerika ansässig sind.
„Die Angreifer hatten es auf das von den Opfern entwickelte geistige Eigentum abgesehen, darunter sensible Dokumente, Blaupausen, Diagramme, Formeln und geschützte Produktionsdaten“, so die Forscher.
„Darüber hinaus sammelten die Angreifer Informationen, die für künftige Cyberangriffe genutzt werden könnten, wie z.B. Details über die Geschäftsbereiche des Zielunternehmens, die Netzwerkarchitektur, Benutzerkonten und Anmeldedaten, E-Mails von Mitarbeitern und Kundendaten.
Winnti, der auch von anderen Cybersecurity-Anbietern unter den Namen APT41, Axiom, Barium und Bronze Atlas geführt wird, ist seit mindestens 2007 aktiv.
„Die Gruppe zielt auf den Diebstahl von geistigem Eigentum von Organisationen in Industrieländern ab, und es ist anzunehmen, dass dies im Namen Chinas geschieht, um die Entscheidungsfindung in einer Reihe von chinesischen Wirtschaftssektoren zu unterstützen“, schreibt Secureworks in einem Bedrohungsprofil des Akteurs.
Die von Cybereason dokumentierte mehrstufige Infektionskette umfasst die Ausnutzung von Internet-Servern, um eine Web-Shell einzurichten, mit dem Ziel, Aufklärungs-, Lateralisierungs- und Datenexfiltrationsaktivitäten durchzuführen.
Sie ist sowohl komplex als auch kompliziert und folgt einem „Kartenhaus“-Ansatz, da jede Komponente der Killchain von anderen Modulen abhängt, um zu funktionieren, was eine Analyse äußerst schwierig macht.
Das macht die Analyse äußerst schwierig. „Das zeigt, wie viel Mühe in die Malware und die Sicherheitsüberlegungen gesteckt wurde, so dass eine Analyse fast unmöglich ist, wenn nicht alle Teile des Puzzles in der richtigen Reihenfolge zusammengesetzt werden“, erklären die Forscher.
Das Sammeln von Daten wird durch einen modularen Lader namens Spyder erleichtert, der zum Entschlüsseln und Laden zusätzlicher Nutzdaten verwendet wird. Außerdem werden vier verschiedene Payloads – STASHLOG, SPARKLOG, PRIVATELOG und DEPLOYLOG – verwendet, die nacheinander eingesetzt werden, um das WINNKIT, ein Rootkit auf Kernel-Ebene, abzuwerfen.
Entscheidend für die Heimlichkeit der Kampagne ist der Einsatz „selten gesehener“ Techniken wie der Missbrauch des Windows Common Log File System (CLFS)-Mechanismus, um die Nutzdaten zu verstecken, so dass die Hackergruppe ihre Nutzdaten verbergen und die Erkennung durch herkömmliche Sicherheitsprodukte umgehen kann.
Interessanterweise wurden Teile der Angriffssequenz bereits im September 2021 von Mandiant beschrieben. Dabei wurde auf den Missbrauch von CLFS hingewiesen, um die Nutzdaten der zweiten Stufe zu verstecken und so eine Entdeckung zu umgehen.
Die Cybersecurity-Firma schrieb die Malware einem unbekannten Akteur zu, warnte aber davor, dass sie als Teil einer sehr gezielten Aktion eingesetzt worden sein könnte.
„Da das Dateiformat nicht weit verbreitet oder dokumentiert ist, gibt es keine Tools, die CLFS-Logdateien analysieren können“, sagte Mandiant damals. „Dies bietet Angreifern die Möglichkeit, ihre Daten auf bequeme Weise als Log-Einträge zu verstecken, da diese über API-Funktionen zugänglich sind.“
WINNKIT wiederum hat einen Kompilierungszeitstempel von Mai 2019 und eine Erkennungsrate von fast Null in VirusTotal, was die ausweichende Natur der Malware unterstreicht, die es den Autoren ermöglichte, jahrelang unentdeckt zu bleiben.
Das ultimative Ziel der Eindringlinge ist es nach Einschätzung der Forscher, geschützte Informationen, Forschungsdokumente, Quellcode und Pläne für verschiedene Technologien abzuschöpfen.
„Winnti ist eine der fleißigsten Gruppen, die im Auftrag des chinesischen Staates operieren“, so Cybereason. „Die Bedrohung [Akteur] hat eine ausgeklügelte, mehrstufige Infektionskette verwendet, die entscheidend dazu beigetragen hat, dass die Gruppe so lange unentdeckt bleiben konnte.“