Chinese hacker groep 'RedDelta' richt zich op het Vaticaan en katholieke organisaties

Gepubliceerd op 29 juli 2020 om 17:12

Vanaf begin mei 2020 behoorden het Vaticaan en het katholieke bisdom Hong Kong tot verschillende katholieke kerk gerelateerde organisaties die het doelwit waren van 'RedDelta'.

'RedDelta' is een door de Chinese staat gesponsorde cyber activiteiten groep die wordt gevolgd door de 'Insikt Group'.

Deze reeks vermoedelijke netwerkinbraken was ook gericht op de studiemissie van Hong Kong naar China en het Pauselijk Instituut voor Buitenlandse Missies Italië (PIME).

Deze organisaties zijn voorafgaand aan deze cyberaanval niet publiekelijk gemeld als doelwit van Chinese groepen voor cyberaanvallen..

Voorlopige overeenkomst

Deze netwerkinbraken vonden plaats voorafgaand aan de verwachte verlenging van september 2020 van de historische voorlopige overeenkomst tussen China en Vaticaan in 2018.

Een deal die naar verluidt ertoe heeft geleid dat de Chinese Communistische Partij (CCP) meer controle en toezicht heeft gekregen over de historisch vervolgde 'ondergrondse' katholieke gemeenschap van het land.

Naast de Heilige Stoel zelf is een ander waarschijnlijk doelwit van de campagne het huidige hoofd van de Hong Kong Study Mission naar China, wiens voorganger een cruciale rol speelde in de overeenkomst van 2018.

Inzicht in onderhandelingspositie

De vermoedelijke inbraak in het Vaticaan zou RedDelta inzicht geven in de onderhandelingspositie van de Heilige Stoel voorafgaand aan de verlenging van de deal in september 2020.

Het doelwit van de Hong Kong Study Mission en zijn katholieke bisdom zou ook een waardevolle informatiebron kunnen zijn voor zowel het monitoren van de betrekkingen van het bisdom met het Vaticaan als zijn standpunt over de pro-democratische beweging in Hong Kong te midden van wijdverbreide protesten en de recente ingrijpende nationale veiligheidswet van Hong Kong .

Verschillen RedDelta en Mustang Panda

Hoewel er aanzienlijke overlap is tussen de waargenomen TTP's van RedDelta en de cyber activiteitengroep die publiekelijk wordt aangeduid als 'Mustang Panda' (ook bekend als BRONZE PRESIDENT en HoneyMyte), zijn er een paar opmerkelijke verschillen die ons ertoe brengen deze activiteit aan te duiden als RedDelta:

  • De versie van PlugX die RedDelta in deze campagne gebruikt, gebruikt een andere C2-versleuteling methode en heeft een ander configuratie-versleuteling mechanisme dan traditionele PlugX.
  • De malware-infectieketen die in deze campagne wordt gebruikt, is niet openbaar gemeld zoals gebruikt door Mustang Panda.

Cyberaanvallen hebben ook plaatsgevonden op entiteiten die verband houden met de Katholieke Kerk.

Insikt Group identificeerde ook RedDelta gericht cyberaanvallen op wetshandhavings- en overheidsinstanties in India en een overheidsorganisatie in Indonesië.

Selectie van de belangrijkste verschillen tussen PlugX-varianten en de infectieketen die wordt gebruikt door RedDelta en Mustang Panda.

Conclusie

  • Het aanvallen van entiteiten die verband houden met de katholieke kerk is waarschijnlijk indicatief voor CCP-doelstellingen bij het consolideren van de controle over de "ondergrondse" katholieke kerk, het " siniseren van religies " in China en het verminderen van de gepercipieerde invloed van het Vaticaan binnen de katholieke gemeenschap van China.

 

  • Vanwege RedDelta's targeting van organisaties die sterk aansluiten bij Chinese strategische belangen, het gebruik van gedeelde tooling die traditioneel wordt gebruikt door in China gevestigde groepen en overlapt met een vermoedelijke Chinese door de staat gesponsorde cyber activiteitengroep, gelooft Insikt Group dat de groep waarschijnlijk namens de regering van de Volksrepubliek China (VRC) handelen.

 

  • De geïdentificeerde RedDelta-inbraken bevatten infrastructuur, tooling en slachtofferschap overlappen met de cyber activiteitengroep die publiekelijk wordt gerapporteerd als Mustang Panda (ook bekend als BRONZE PRESIDENT en HoneyMyte). Dit omvat het gebruik van overlappende netwerkinfrastructuur en soortgelijke victimologie die eerder aan deze groep werd toegeschreven in openbare rapportage, evenals het gebruik van malware die typisch wordt gebruikt door Mustang Panda, zoals 'PlugX', 'Poison Ivy' en 'Cobalt Strike'.
Cta 2020 0728
PDF – 3,9 MB 557 downloads