Ein Jahr nach Bekanntwerden einer konzertierten Aktion gegen kritische Infrastrukturen in Indien werden Angriffe auf das indische Stromnetz mit China in Verbindung gebracht.
Laut der Insikt Group von Recorded Future wurde bei den meisten Angriffen eine modulare Hintertür namens ShadowPad eingesetzt, ein ausgeklügelter Trojaner für den Fernzugriff, der als „Meisterwerk der privat verkauften Malware in der chinesischen Spionage“ bezeichnet wird.
„ShadowPad wird von immer mehr Gruppen eingesetzt, die mit der Volksbefreiungsarmee (PLA) und dem Ministerium für Staatssicherheit (MSS) in Verbindung stehen. Die Ursprünge von ShadowPad gehen auf bekannte Auftragnehmer des MSS zurück, die das Tool zunächst für ihre eigenen Operationen verwendeten und später wahrscheinlich als digitaler Quartiermeister fungierten“, so die Forscher.
Das Ziel der anhaltenden Kampagne ist es laut dem Cybersicherheitsunternehmen, das Sammeln von Informationen über kritische Infrastruktursysteme zu erleichtern, um sich auf zukünftige Eventualoperationen vorzubereiten. Die Angriffe sollen im September 2021 begonnen haben.
Die Angriffe zielten auf sieben State Load Despatch Centres (SDLCs) ab, die sich hauptsächlich in Nordindien befinden, insbesondere in der Nähe der umstrittenen indisch-chinesischen Grenze in Ladakh. Eines der Ziele wurde bereits im Februar 2021 Opfer eines ähnlichen Angriffs, der der RedEcho-Gruppe zugeschrieben wird.
Bei den RedEcho-Angriffen im Jahr 2021 wurden zehn verschiedene Organisationen des indischen Stromsektors kompromittiert, darunter sechs regionale und staatliche Lastverteilungszentren (RLDC), zwei Häfen, ein nationales Kraftwerk und ein Umspannwerk.
Recorded Future ordnete die jüngsten bösartigen Aktivitäten einem aufkommenden Bedrohungscluster zu, das es unter dem Namen Threat Activity Group 38 aka TAG-38 (ähnlich den Bezeichnungen UNC#### und DEV-#### von Mandiant und Microsoft) verfolgt und „bemerkenswerte Unterschiede“ zu den zuvor identifizierten RedEcho-TTPs angibt.
TAG-38 griff nicht nur das Stromnetz an, sondern auch ein nationales Notfallsystem und die indische Tochtergesellschaft eines multinationalen Logistikunternehmens.
Obwohl der ursprüngliche Infektionsvektor, über den in die Netzwerke eingedrungen wurde, nicht bekannt ist, wurde die ShadowPad-Malware auf den Host-Systemen über ein Netzwerk von infizierten internetfähigen DVR/IP-Kamerageräten in Taiwan und Südkorea eingeschleust.
„Die Nutzung von ShadowPad durch chinesische Aktivitätsgruppen nimmt im Laufe der Zeit immer weiter zu. Es werden regelmäßig neue Aktivitätsgruppen identifiziert, die die Backdoor nutzen, und auch die Nutzung durch bereits verfolgte Gruppen wird fortgesetzt“, so die Forscher und fügten hinzu, dass sie mindestens 10 verschiedene Gruppen mit Zugang zu der Malware beobachten.
Der indische Energieminister R. K. Singh bezeichnete die Angriffe im Januar und Februar als erfolglose „Sondierungsversuche“ und erklärte, dass die Regierung ihre Cybersicherheitsmechanismen ständig überprüfe, um die Abwehrkräfte zu stärken.
China seinerseits bekräftigte, dass es „alle Formen von Cyberangriffen entschieden ablehnt und bekämpft“ und dass „Cybersicherheit eine gemeinsame Herausforderung für alle Länder ist, die durch Dialog und Zusammenarbeit gemeinsam angegangen werden sollte“.
„Kürzlich haben chinesische Cybersicherheitsunternehmen eine Reihe von Berichten veröffentlicht, aus denen hervorgeht, dass die US-Regierung Cyberangriffe auf viele Länder auf der ganzen Welt, darunter auch China, durchgeführt hat, die die Sicherheit kritischer Infrastrukturen dieser Länder ernsthaft gefährden“, sagte der Sprecher des chinesischen Außenministeriums, Zhao Lijian.
„Es ist erwähnenswert, dass viele Verbündete der USA oder Länder, mit denen sie in Sachen Cybersicherheit zusammenarbeiten, ebenfalls Opfer von US-Cyberangriffen sind. Wir glauben, dass die internationale Gemeinschaft, insbesondere Chinas Nachbarländer, ihre Augen weit offen halten und sich ein eigenes Urteil über die wahren Absichten der US-Seite bilden werden.