Eine vom chinesischen Staat gesponserte Gruppe namens RedAlpha wird für eine mehrjährige Kampagne zum massenhaften Diebstahl von Zugangsdaten verantwortlich gemacht, die auf globale humanitäre Organisationen, Denkfabriken und Regierungen abzielt.
„Bei dieser Aktion hat RedAlpha höchstwahrscheinlich versucht, sich Zugang zu E-Mail-Konten und anderen Online-Kommunikationsmitteln von Zielpersonen und -organisationen zu verschaffen“, so Recorded Future in einem neuen Bericht.
Der weniger bekannte Bedrohungsakteur RedAlpha wurde erstmals im Januar 2018 von Citizen Lab dokumentiert und hat in der Vergangenheit Cyberspionage- und Überwachungsoperationen gegen die tibetische Gemeinschaft, unter anderem in Indien, durchgeführt, um durch den Einsatz der NjRAT-Backdoor das Sammeln von Informationen zu erleichtern.
„Die Kampagnen […] kombinieren leichte Aufklärungsarbeit, gezielte Angriffe und verschiedene bösartige Werkzeuge“, stellte Recorded Future damals fest.
Seitdem hat die Gruppe bis zu 350 Domains mit Waffen ausgestattet, die legitime Organisationen wie die International Federation for Human Rights (FIDH), Amnesty International, das Mercator Institute for China Studies (MERICS), Radio Free Asia (RFA) und das American Institute in Taiwan (AIT) fälschen.
Das konsequente Vorgehen des Gegners gegen Denkfabriken und humanitäre Organisationen in den letzten drei Jahren steht im Einklang mit den strategischen Interessen der chinesischen Regierung, so der Bericht weiter.
Die gefälschten Domains, zu denen auch legitime E-Mail- und Speicherdienstleister wie Yahoo!, Google und Microsoft gehören, werden anschließend genutzt, um nahe gelegene Organisationen und Einzelpersonen anzugreifen und den Diebstahl von Zugangsdaten zu erleichtern.
Die Angriffsketten beginnen mit Phishing-E-Mails, die PDF-Dateien enthalten, in die bösartige Links eingebettet sind, die die Nutzer/innen auf gefälschte Landing Pages umleiten, die die E-Mail-Anmeldeportale der Zielorganisationen widerspiegeln.
„Das bedeutet, dass sie auf Personen abzielen, die direkt mit diesen Organisationen verbunden sind, und nicht einfach diese Organisationen imitieren, um andere Dritte anzugreifen“, so die Forscher.
Alternativ wurden auf den Domänen, die für die Anmeldedaten-Phishing-Aktivitäten verwendet wurden, allgemeine Anmeldeseiten für beliebte E-Mail-Anbieter wie Outlook gehostet und andere E-Mail-Software wie Zimbra imitiert, die von den betreffenden Organisationen verwendet wird.
Ein weiteres Anzeichen für die Entwicklung der Kampagne ist, dass die Gruppe auch Login-Seiten für die Außenministerien von Taiwan, Portugal, Brasilien und Vietnam sowie für das indische National Informatics Centre (NIC), das die IT-Infrastruktur und Dienstleistungen für die indische Regierung verwaltet, imitiert hat.
Der RedAlpha-Cluster scheint außerdem mit einem chinesischen Informationssicherheitsunternehmen namens Jiangsu Cimer Information Security Technology Co. Ltd. (ehemals Nanjing Qinglan Information Technology Co., Ltd.) in Verbindung zu stehen, was unterstreicht, dass die Geheimdienste des Landes weiterhin auf private Auftragnehmer zurückgreifen.
„Die Tatsache, dass Denkfabriken, zivilgesellschaftliche Organisationen und taiwanesische Regierungs- und politische Einrichtungen ins Visier genommen wurden, sowie die Identifizierung der wahrscheinlich in China ansässigen Betreiber deuten darauf hin, dass der chinesische Staat hinter den RedAlpha-Aktivitäten steckt“, so die Forscher.