Chinesische Hacker zielten auf Indiens Stromnetz inmitten geopolitischer Spannungen

Cyber Security News

Inmitten erhöhter Grenzspannungen zwischen Indien und China haben Cybersecurity-Forscher eine konzertierte Kampagne gegen Indiens kritische Infrastruktur, einschließlich des Stromnetzes des Landes, von chinesischen staatlich gesponserten Gruppen aufgedeckt.

Die Angriffe, die mit dem Patt zwischen den beiden Nationen im Mai 2020 zusammenfielen, zielten auf insgesamt 12 Organisationen, von denen 10 im Bereich der Stromerzeugung und -übertragung liegen.

“10 verschiedene Organisationen des indischen Stromsektors, darunter vier der fünf Regional Load Despatch Centres (RLDC), die für den Betrieb des Stromnetzes durch den Ausgleich von Stromangebot und -nachfrage verantwortlich sind, wurden als Ziele in einer konzertierten Kampagne gegen Indiens kritische Infrastruktur identifiziert”, sagte Recorded Future in einem gestern veröffentlichten Bericht. “Als weitere Ziele wurden 2 indische Seehäfen identifiziert.”

Zu den Hauptopfern gehören ein Kraftwerk der National Thermal Power Corporation (NTPC) Limited und die in Neu-Delhi ansässige Power System Operation Corporation Limited.

Die Ermittler der Insikt-Gruppe des Cybersecurity-Unternehmens schreiben die Angriffe einer neuen Gruppe mit dem Namen “RedEcho” zu und sagen, dass die Malware, die von dem Bedrohungsakteur eingesetzt wird, eine starke Infrastruktur und Überschneidungen in der Viktimologie mit anderen chinesischen Gruppen wie APT41 (auch bekannt als Barium, Winnti oder Wicked Panda) und Tonto Team aufweist.

Grenzkonflikte sind seit dem letzten Jahr nach tödlichen Zusammenstößen zwischen indischen und chinesischen Soldaten im Galwan-Tal in Ladakh wieder aufgeflammt. Während 20 indische Soldaten bei den Zusammenstößen getötet wurden, hat China am 19. Februar zum ersten Mal offiziell vier Opfer auf seiner Seite identifiziert.

[Blocked Image: https://thehackernews.com/images/-2TuQOEnLYdE/YDy6YemLfuI/AAAAAAAAB6A/X7zGPxsQ_rM9aGz2sYyDrEd9793fX9YEwCLcBGAsYHQ/s728-e1000/INDIA.jpg]

In den vergangenen Monaten hat die indische Regierung mehr als 200 chinesische Apps verboten, weil sie angeblich an Aktivitäten beteiligt waren, die eine Bedrohung für die “nationale Sicherheit und Verteidigung Indiens darstellen, was letztlich die Souveränität und Integrität Indiens beeinträchtigt.”

Recorded Future stellte fest, dass das Patt zwischen den beiden Ländern von verstärkten Spionageaktivitäten auf beiden Seiten begleitet wurde. Laut Recorded Future wurden bei den Angriffen aus China Infrastrukturen verwendet, die es als AXIOMATICASYMPTOTE verfolgt, was eine modulare Windows-Backdoor namens ShadowPad umfasst, die zuvor APT41 zugeschrieben wurde und anschließend von anderen chinesischen, staatlich unterstützten Akteuren genutzt wurde.

Darüber hinaus wirft der Bericht auch Fragen über einen möglichen Zusammenhang zwischen den Scharmützeln und einem Stromausfall auf, der Mumbai im vergangenen Oktober lahmlegte.

Während eine erste Untersuchung durch die Cyber-Abteilung des westindischen Bundesstaates Maharashtra den Angriff auf eine nicht näher spezifizierte Malware zurückführte, die in einem staatlichen Lastverteilungszentrum in Padgha identifiziert wurde, sagten die Forscher: “Die angebliche Verbindung zwischen dem Stromausfall und der Entdeckung der nicht näher spezifizierten Malware-Variante bleibt unbegründet.”

“Diese Entdeckung liefert jedoch zusätzliche Beweise, die darauf hindeuten, dass die indischen Lastverteilzentren koordiniert angegriffen werden”, fügten sie hinzu.

Interessanterweise wurden diese Cyberangriffe als aus Chengdu stammend beschrieben, das auch die Basis für eine Netzwerktechnologie-Firma namens Chengdu 404 Network Technology Company ist, die als Fassade für eine jahrzehntelange Hacking-Attacke auf mehr als 100 High-Tech- und Online-Gaming-Unternehmen diente.

[Blocked Image: https://thehackernews.com/images/-K78umNmJQMM/YDy6VJSDaFI/AAAAAAAAB58/WI3oBecq5qsNqFRJpp-pq97iP7ofk4l_ACLcBGAsYHQ/s728-e1000/india-china-hacking.jpg]

Aber es ist nicht nur China. In den Wochen vor den Zusammenstößen im Mai soll eine staatlich gesponserte Gruppe namens Sidewinder – die zur Unterstützung indischer politischer Interessen operiert – chinesische Militär- und Regierungsstellen in einer Spear-Phishing-Attacke ausgemacht haben, die Köder mit Bezug zu COVID-19 oder den territorialen Streitigkeiten zwischen Nepal, Pakistan, Indien und China benutzte.

Abgesehen vom Modus Operandi ist der Fund ein weiterer Hinweis darauf, warum kritische Infrastrukturen weiterhin ein lukratives Ziel für einen Gegner sind, der den Zugang zu wichtigen Diensten, die von Millionen von Menschen genutzt werden, unterbrechen will.

“Die Einbrüche überschneiden sich mit früheren Angriffen auf den indischen Energiesektor durch chinesische Bedrohungsgruppen im Jahr 2020, die ebenfalls AXIOMATICASYMPTOTE-Infrastruktur nutzten”, so die Forscher. “Daher deutet der Fokus auf Indiens Elektrizitätssystem möglicherweise auf eine anhaltende strategische Absicht hin, auf Indiens Energieinfrastruktur zuzugreifen.”

Wir haben das indische Computer Emergency Response Team (CERT-IN) kontaktiert und werden den Artikel aktualisieren, sobald wir eine Antwort erhalten.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com