Ein bisher nicht dokumentiertes Spionagetool wurde als Teil einer langjährigen Spionagekampagne, die von mit China verbundenen Bedrohungsakteuren seit mindestens 2013 inszeniert wurde, gegen ausgewählte Regierungen und andere kritische Infrastrukturziele eingesetzt.
Das Symantec Threat Hunter Team von Broadcom bezeichnete die Hintertür namens Daxin als technologisch fortschrittliche Malware, die es den Angreifern ermöglicht, eine Vielzahl von Kommunikations- und Informationsbeschaffungsmaßnahmen durchzuführen, die auf Einrichtungen in den Bereichen Telekommunikation, Transport und Produktion abzielen, die für China von strategischem Interesse sind.
„Die Daxin-Malware ist eine hochentwickelte Rootkit-Backdoor mit einer komplexen, getarnten Command-and-Control-Funktionalität (C2), die es den Angreifern ermöglicht, mit gesicherten Geräten zu kommunizieren, die nicht direkt mit dem Internet verbunden sind“, so die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) in einem unabhängigen Gutachten.
Das Implantat hat die Form eines Windows-Kernel-Treibers, der einen ausgeklügelten Kommunikationsmechanismus implementiert, der der Malware ein hohes Maß an Heimlichkeit und die Fähigkeit verleiht, mit Rechnern zu kommunizieren, die physisch nicht mit dem Internet verbunden sind.
Er erreicht dies, indem er ausdrücklich darauf verzichtet, eigene Netzwerkdienste zu starten, und stattdessen legitime TCP/IP-Dienste nutzt, die bereits auf den infizierten Computern laufen, um seine Kommunikation mit dem normalen Datenverkehr im Netzwerk des Ziels zu vermischen und Befehle von einer Gegenstelle zu empfangen.
„Diese Funktionen erinnern an Regin“, so die Forscher. Sie beziehen sich damit auf ein weiteres ausgeklügeltes Malware- und Hacking-Toolkit, das 2014 der National Security Agency (NSA) für Spionageoperationen der Regierung zugeschrieben wurde.
Zu den ungewöhnlichen Aspekten von Daxin gehört neben der Tatsache, dass es keinen verdächtigen Netzwerkverkehr erzeugt, um unbemerkt zu bleiben, die Fähigkeit, Befehle über ein Netzwerk von infizierten Computern innerhalb der angegriffenen Organisation weiterzuleiten und so einen „Multi-Knoten-Kommunikationskanal“ zu schaffen, der einen wiederkehrenden Zugriff auf die kompromittierten Computer über längere Zeiträume ermöglicht.
Während die jüngsten Angriffe mit der Backdoor im November 2021 stattgefunden haben sollen, hat Symantec nach eigenen Angaben auf Code-Ebene Gemeinsamkeiten mit einer älteren Malware namens Exforel (auch bekannt als Zala) entdeckt, was darauf hindeutet, dass Daxin möglicherweise von einem Akteur entwickelt wurde, der Zugang zur Codebasis von Exforel hatte, oder dass beide von derselben Gruppe stammen.
Die Kampagnen wurden nicht einem einzigen Angreifer zugeschrieben, aber eine Zeitleiste der Angriffe zeigt, dass Daxin auf einigen der gleichen Systeme installiert wurde, auf denen auch Tools anderer chinesischer Spionageakteure wie Slug gefunden wurden. So wurden im Mai 2020 sowohl Daxin als auch Owprox auf einem einzigen Computer eines Technologieunternehmens installiert.
„Daxin ist zweifellos die fortschrittlichste Malware […], die von einem mit China verbundenen Akteur eingesetzt wurde“, so die Forscher. „In Anbetracht seiner Fähigkeiten und der Art der eingesetzten Angriffe scheint Daxin für den Einsatz gegen gehärtete Ziele optimiert zu sein, so dass die Angreifer tief in das Netzwerk eines Ziels eindringen und Daten exfiltrieren können, ohne Verdacht zu erregen.“
Die Enthüllung erfolgte eine Woche, nachdem das in China ansässige Pangu Lab eine „Top-Tier“-Backdoor namens Bvp47 veröffentlicht hatte, die von der U.S. National Security Agency über ein Jahrzehnt lang genutzt wurde und 287 Organisationen in 45 Ländern, vor allem in China, Korea, Japan, Deutschland, Spanien, Indien und Mexiko, angriff.