MSS – Ministerstwo Bezpieczeństwa Państwowego i jego cyber aktywności

W poprzednim poście zajmowaliśmy się aktywnością wywiadowczą Armii Ludowo Wyzwoleńczej i tym jak reformy sił zbrojnych zmierzają do usprawnienia ich funkcjonowania na tym polu. Tym razem skupimy się na agencji zajmującej się zadaniami typowo wywiadowczymi – Ministerstwie Bezpieczeństwa Państwowego (国家安全部, MSS). Zaczynając od krótkiego rysu historycznego, współczesna organizacja MSS jest wynikiem przekształceń które miały miejsce w Czerwcu 1983. Wtedy to Centralny Departament Dochodzeń (Central Investigation Department, CID) wchłonął funkcje kontrwywiadowcze Ministerstwa Bezpieczeństwa Publicznego, stając się w ten sposób główną agencją wywiadowczą Chin. Reorganizacja miała podstawy polityczne, na czele CID stał Luo Qingchang, zdecydowany przeciwnik Deng Xiaopinga. Ze względu na pozycję Luo, usunięcie go z urzędu nie było możliwe, więc stworzenie MSS pozwoliło na zmianę kierownictwa wywiadu i odsunięcie niewygodnego polityka. Poza zmianami personalnymi, utworzenie MSS odbywało się również w czasach reformy polityki Deng Xiaopinga zakładającej większe otwarcie Chin i nawiązywanie kontaktów z zagranicznymi partnerami. Plan Denga zakładał „Cztery Modernizacje” – rolnictwa, nauki, przemysłu i obronności aby znacząco wzmocnić pozycję Chin na arenie międzynarodowej. Do tego potrzebna była jednak wiedza i technologia, której uzyskanie nie było łatwe ze względu na ograniczone relacje dyplomatyczne i osłabiony czystkami i reformami aparat wywiadu. Cywilne agencje wywiadowcze nie były w stanie sprostać wymaganiom wywiadowczym stawianym przez polityków. Deng zwrócił się więc w stronę PLA, a konkretnie Drugiego Departamentu Sztabu Generalnego jako ramienia wywiadowczego. Takie podejście rzutowało na hierarchię organizacji aparatu wywiadowczego spychającego MSS na drugi plan, jednak jednocześnie chroniło organizację przed upolitycznieniem, które spotkało PLA. Jednocześnie jednak lata 90 to okres inwestycji, które miały zaprocentować 20 lat później. Chiński wywiad zaczął interesować się nowymi technologiami i operacjami sieciowymi, czego skutkiem było choćby utworzenie w 1997 Chińskiego Narodowego Centrum Oceny Bezpieczeństwa Technologii Informatycznych (China National Information Technology Evaluation Center – CNITSEC), które z pozoru miało zajmować się oceną i katalogowaniem podatności, jednak w istocie było twarzą działu MSS odpowiedzialnego za CNE i ochronę sieci. Podobnie właśnie w tym okresie wsparcie od rządu uzyskały pierwsze firmy tworzące rozwiązania w zakresie bezpieczeństwa sieciowego jak TOPSEC czy Venustech.

Inwestycje te zaczęły przynosić największe korzyści dla MSS po 2015 roku. W poprzednim poście pisałem o reorganizacji PLA i utworzeniu Sił Wsparcia Strategicznego, i ten okres to czas kiedy MSS przyjęło bardziej agresywne podejście do prowadzenia operacji zagranicznych i pozyskiwania informacji. A kluczowym komponentem były właśnie cyber aktywności, które stworzyły możliwość działania na niespotykaną do tej pory skalę i prowadzenia operacji niezależnie od uwarunkowań geograficznych.

Poświęcając jeszcze chwilę kwestią organizacyjnym, MSS jest podzielone na biura. W przeciwieństwie do PLA, gdzie za pomocą MUCD można śledzić miejsce jednostki w strukturze organizacyjnej, w przypadku MSS informacje o poszczególnych biurach nie są tak łatwo dostępne. Źródła podają, że MSS może mieć osiemnaście biur:

1. Pierwsze Biuro – operacje funkcjonariuszy wywiadu działających bez oficjalnej przykrywki.
2. Drugie Biuro – operacje funkcjonariuszy wywiadu działających jako dyplomaci, dziennikarze, i inne osoby powiązane oficjalnie z rządem.
3. Trzecie Biuro – funkcja nieznana.
4. Czwarte Biur – operacje związane z Tajwanem, Hong Kongiem i Macau.
5. Piąte Biuro – analiza wywiadowcza i dystrybucja produktów wywiadu.
6. Szóste Biuro – funkcja nieznana.
7. Siódme Biuro – kontrwywiad w zakresie analizy i pozyskiwania informacji o wrogich agencjach wywiadowczych działających przeciwko Chinom.
8. Ósme Biuro – kontrwywiad w zakresie prowadzenia dochodzeń mających na celu wykrycie i zatrzymanie szpiegów działających w Chinach.
9. Dziewiąte Biuro – monitorowanie zagranicznych organizacji i organizacji wywrotowych aby zapobiec szpiegostwu.
10. Dziesiąte Biuro – monitoring Chińskich organizacji studenckich i organizacji wywrotowych działających za granicą.
11. Jedenaste Biuro – analiza OSINT, tłumaczenia i spotkania z zagranicznymi gośćmi lub wizyty w zagranicznych ośrodkach. W ramach tego biura działa właśnie China Institutes of Contemporary International Relations.
12. Dwunaste Biuro – udział MSS w United Front Work – departamencie zajmującym się wpływem na elity społeczne w Chinach i za granicą.
13. Trzynaste Biuro – wspomniane CNITSEC, operacje sieciowe i bezpieczeństwo sieci.
14. Czternaste Biuro – Biuro Rekonesansu Technicznego – kontrola korespondencji tradycyjnej i prowadzonej za pomocą sieci telekomunikacyjnych.
15. Piętnaste Biuro – operacje związane z Tajwanem, biuro związane z Instytutem Studiów nad Tajwanem Chińskiej Akademii Nauk Społecznych.
16. Szesnaste Biuro – funkcja nieznana.
17. Siedemnaste Biuro – funkcja nieznana.
18. Osiemnaste Biuro – operacje przeciwko Stanom Zjednoczonym.

Jak więc przystało na główną cywilną agencję wywiadowczą Chin, zakres pracy MSS jest bardzo szeroki. Nas naturalnie najbardziej interesować będą operacje związane z Trzynastym Biurem i szeroko pojęta działalność cyber. Podobnie jak w przypadku PLA, informacji o operacjach dostarczy kombinacja raportów z sektora prywatnego i aktów oskarżenia, których bohaterami byli funkcjonariusze Chińskiego wywiadu. Pisząc jednak o Chińskich cyber działaniach, i w szczególności właśnie MSS, nie sposób wspomnieć również o jednym bardzo interesującym źródle. W 2017 rozpoczął działalność blog o nazwie Intrusion Truth, który bardzo szybko zyskał zainteresowanie analityków threat intelligence ze względu na publikacje szczegółowych opisów Chińskich operacji, a co więcej ujawnianie również tożsamości konkretnych osób za nie odpowiedzialnych. Co ciekawe jako motywację swoich działań Intrusion Truth wskazywało kradzież własności intelektualnej przez MSS. Według autorów operacje takie są szczególnie godne potępienia, gdyż są zwykłą kradzieżą cudzej pracy pokazującą tylko jak Chiny muszą podpierać się nieczystymi zagraniami aby utrzymywać konkurencyjność lokalnych firm.

Opis operacji możemy więc zacząć od aktywności, która również była omawiana przez Intrusion Truth, jednak pierwszy raz pojawiła się w publicznej świadomości w Kwietniu 2017 roku za sprawą raportu PwC i BAE Systems opisującego działania nazwane „Cloud Hopper”. Cloud Hopper miał być działem powiązanej z Chińskim rządem grupy APT10, a jej celem było włamywanie się do dostawców usług (MSP – Managed Service Provider). MSP były i są bardzo cennymi celami ze względu na szeroki dostęp do infrastruktury klientów jaki mają ze względu na rodzaj świadczonych usług. Udane włamanie mogło więc potencjalnie zapewnić do zasobów wykraczających daleko poza tylko te, które znajdowały się w środowisku organizacji. Zgodnie z ustaleniami analityków PwC, APT10 zajmowała się działalnością szpiegowską, eksfiltrując znaczne ilości danych z serwerów zarówno samych MSP jak i ich klientów. Cloud Hopper nie był zresztą jednorazową akcją APT10, działalność grupy sięgała 2009 roku kiedy to odnaleziono pierwszy ślady ataków na amerykańskie firmy związane z przemysłem obronnym. W tym miejscu wypada zatrzymać się na chwilę nad chronologią biorąc pod uwagę, że przyglądamy się tutaj działalności Chińskich grup z podziałem na operacje PLA i MSS. W raporcie znajdziemy bowiem taki interesujący akapit:

Zwróćmy tutaj uwagę na dwa aspekty. Po pierwsze autorzy spekulują, że spadek aktywności w latach 2013-2014 mógł mieć związek z ujawnieniem aktywności APT1 (mowa o raporcie Mandiant). Jednak jak pamiętamy, APT1 to przecież działalność PLA – czy więc na pewno mamy do czynienia z operacją MSS? Wyjaśnień może być tutaj kilka, przede wszystkim jeżeli mówimy o wykorzystaniu poszczególnych narzędzi to często może się zdarzyć, że śledzimy w istocie nie operatorów, a autorów narzędzi wykorzystywanych przez różne grupy powiązane z organizacjami wywiadu danego państwa. Tak samo, ze względu choćby na kontakty osobiste czy wymianę doświadczeń pomiędzy jednostkami i oddziałami sposób tworzenia infrastruktury może opierać się na podobnych metodach. Po drugie, niestety bez dostępu do źródeł informacji jak SIGINT czy HUMINT wycelowany w przedmiotowe organizacje, bardzo trudno stwierdzić czy cały czas mówimy o tej samej jednostce organizacyjnej. Szczególnie, jeżeli aktywność trwa tak długo jak w tym przypadku. Nie zapominajmy choćby o reformie PLA czy zmianie pozycji i rozwoju zdolności cyber MSS, które miały miejsce w między czasie. Na jakiej podstawie więc APT10 traktujemy jako operacje MSS? Atrybucja w tym wypadku została dokonana przez rząd Stanów Zjednoczonych, który opublikował akt oskarżenia przeciwko funkcjonariuszom Biura Bezpieczeństwa Państwa w Tianjin. W dokumencie możemy przeczytać, że aktywności grupy śledzonej jako APT10 zaczęły się jeszcze wcześniej – przynajmniej w 2006 roku. Operatorzy pracowali dla Chińskiej firmy Huaying Haitai, która to działa w porozumieniu z MSS, konkretnie wspomnianym biurem w Tianjin przy prowadzenie operacji. Jeżeli chodzi o modus operandi sprawców, to akt oskarżenia przedstawia raczej standardowe scenariusz włamań – maile z phishingowymi załącznikami prowadzące do instalacji implantów na komputerze ofiary. Najciekawszym elementem dokumentów udostępnianych przez organy ścigania nie są jednak zazwyczaj szczegóły techniczne, a informacje o atakujących i ich celach. I tak znajdziemy tutaj opis dwóch kampanii. Pierwsza z nich rozpoczęła się około roku 2006 i miała na celu szpiegostwo przemysłowe. APT10 uzyskało dostęp do firm i agencji rządowych zajmujących się sektorem obronnym (oskarżenie wymienia lotnictwo, technologię kosmiczną, produkcję komponentów, farmaceutykę, przetwarzanie ropy, technologie komputerowe i przemysł morski). Druga, rozpoczęta w 2014 to ataki na MSP, czyli najprawdopodobniej aktywności opisane przez sektor prywatny jako Cloud Hopper. Zdaniem amerykańskiej prokuratury, jedno z włamań do takiego podmiotu (mającego siedzibę w obrębie jurysdykcji prokuratury południowego okręgu Nowego Jorku) umożliwiło dostęp do danych klientów z co najmniej dwunastu państw w Europie, Ameryce, Azji i na Bliskim Wschodzie. Dodatkowo krótko wspomniane zostało również włamanie do systemów Marynarki Stanów Zjednoczonych które skutkowało wykradzeniem danych o ponad stu tysiącach pracowników.

Drugą z grup APT łączoną z działalnością MSS jest APT3. Za APT3 stać ma Boyusec, Chińska firma świadcząca usługi z zakresu cyberbezpieczeństwa. O powiązaniu aktywności APT3 i MSS pierwszy raz wspomniało Intrusion Truth w Maju 2017 roku. W poście na swoim blogu wskazali na zbieżność imion osób pozyskujących infrastrukturę dla operacji APT3 z udziałowcami w Boyusec oraz artykule według którego anonimowi urzędnicy Pentagonu ujawnili, że Boyusec jest zaangażowana w działalność wywiadowczą na rzecz rządu Chin. Niedługo potem Recorded Future opublikowało raport w którym analityce poparli tę tezę. Recorded Future oparło się o własną telemetrię odnośnie rejestracji infrastruktury i powiązania biznesowe pomiędzy Boyusec a Guandong ITSEC – ośrodek badawczy działający w ramach wspomnianego już CNITSEC. MSS działało tutaj więc przez podwykonawców, outsourcując operacje do podmiotu prywatnego poprzez agencje badawcze będące pod kontrolą MSS i stanowiące publiczną twarz działalności związanej z operacjami sieciowymi. Relacje tę Recorded Future zaprezentowało na następującym prostym schemacie:

Jeżeli chodzi o zakres aktywności APT3 to możemy cofnąć się do 2015 roku, kiedy to FireEye opublikowało raport opisujący zaawansowaną w której napastnicy wykorzystywali podatności 0-day w popularnych przeglądarkach internetowych jak IE czy Firefox i szybkich ruchów w środowisku po uzyskaniu dostępu. Podobnie jak APT10, cele wybierane przez APT3 miały wyraźnie obronne i przemysłowe zabarwienie – analitycy FireEye zaobserwowali, że grupa zainteresowana była firmami zajmującymi się lotnictwem i obronnością, budownictwem, telekomunikacją, transportem, i nowymi technologiami.

APT3 doczekało się również swojego aktu oskarżenia, jednak tym razem Departament Sprawiedliwości nie wskazał bezpośrednio nazwy grupy. Przedmiotowe oskarżenie dotyczyło natomiast bohaterów wspomnianego posta Intrusion Truth (Wu Yingzhuo, Dong Hao) odpowiedzialnych za rejestrację infrastruktury i wskazywało na ich związki z Boyusec. Zgodnie z dokumentem, grupa odpowiedzialna jest za włamanie do agencji ratingowej Moody’s w latach 2011-2014, do Siemensa między 2014 i 2015, oraz w latach 2015-2016 do Trimble – firmy zajmującej się systemami nawigacji GPS i GNSS. Podobnie jak w przypadku APT10, włamania miały charakter szpiegowski. Operatorzy wykradali analizy ekonomiczne od Moody’s, dane Siemensa dotyczące projektów energetycznych i transportowych. W przypadku Trimble celem była własność przemysłową związana z projektem mającym zwiększyć precyzję systemów nawigacyjnych pracujących na urządzeniach mobilnych takich jak tablety czy telefony komórkowe. Sposób działania podobnie obejmował kampanie maili phishingowych, instalację implantów i ruchy poziome z wykorzystaniem wykradzionych danych logowania, jednak akt oskarżenia wspomina również o dość ciekawej technice eksfiltracji. W przypadku Moody’s napastnicy stworzyli na serwerze mailowy regułę, która przekierowywała korespondencję przychodzącą jednego z ekonomistów pracujących w firmie na kontrolowane przez siebie konta mailowe. Wrażenie robi również skala działania w przypadku Siemensa – dokument wspomina o kradzieży 407 GB danych.

Aktu oskarżenia doczekała się jeszcze jedna operacja MSS, jednak tym razem nie powiązana do tej pory publicznie z żadną grupą śledzoną przez sektor prywatny. W Lipcu 2020 opublikowane zostało oskarżenie przeciwko dwóm osobom które na zlecenie MSS miały dokonać szeregu włamań, włączając w to ataki na ośrodki zajmujące się badaniami nad szczepionkami przeciwko COVID-19. O ile jednak właśnie ta operacja najbardziej ściągnęła uwagę mediów, to sam dokument opisuje dużo więcej operacji mających miejsce pomiędzy 2016, a 2020 rokiem. Lista zawiera firmy z sektora obronnego, energetycznego, farmaceutycznego, inżynierii cywilnej, gier komputerowych, i elektroniki. Cele znajdowały się nie tylko w Stanach Zjednoczonych, ale również Australii, Korei Południowej. Co interesujące, tym razem prokuratura wskazała, że napastnicy korzystali z podatności w wystawionych do Internetu zasobach, źle skonfigurowanych usługach i używali webshelli do utrzymania dostępu – w tym znanego China Chopper. Charakter operacji był po raz kolejny ściśle wywiadowczy. Operatorzy pozyskiwali dane związane z rozwojem nowych technologii, szczególnie tych istotnych z punktu widzenia potencjału wojskowego USA.

W końcu stawkę działań MSS ujawnionych przez akty oskarżenia Departamentu Sprawiedliwości zamyka APT40 i oskarżenie przeciwko funkcjonariuszom Departamentu Bezpieczeństwa Państwowego w Hainan ujawnione w Lipcu 2021. Równocześnie CISA opublikowała artykuł opisujący techniki stosowane przez grupę i indykatory – hashe implantów i domeny wykorzystywane do C2 przez napastników. Kampania ponownie miała zdecydowanie długofalowy charakter, zgodnie z wynikami śledztwa aktywności zaczęły się nie później niż w 2009 roku i trwały do 2018. Wartym podkreślenia wątkiem aktywności jest współpraca z Chińskim uniwersytetami. Zdaniem prokuratorów personel naukowy pomagał w identyfikacji i rekrutacji potencjalnych kandydatów do pracy z MSS – poszukiwano nie tylko umiejętności technicznych, ale tez językowych koniecznych do skutecznego rekonesansu w atakowanych systemach. Dodatkowo kontakty z uniwersytetami miały również pomagać w prowadzeniu Hainan Xiandun, firmy stanowiącej przykrywkę dla operacji APT40. Jak przystało na tak długą operację, lista celów jest długa i obejmuję państwa z odległych zakątków globu – Stany Zjednoczone, Austrię, Kambodżę, Kanadę, Niemcy, Indonezję, Malezję, Norwegię, Arabię Saudyjską, RPA, Szwajcarię i Wielką Brytanię. A jeżeli chodzi o sektory objęte atakami to po raz kolejny chodziło o sektor obronny, lotnictwo, edukację, służbę zdrowia, i przemysł morski. Szczególnie ten ostatni był celem intensywnych operacji. Zanim APT40 stało się APT40, analitycy Mandiant śledzili aktywności związane z grupą jako Temp.Periscope i opisali intensywne wysiłki skierowane na podmioty zajmujące się technologiami produkcji statków, transportem morskim, inżynierią materiałową. Tak samo jak szeroki był wachlarz ofiar, tak napastnicy posługiwali się szeregiem technik w toku swoich operacji – od maili phishingowych, poprzez pakiet samodzielnie napisanych narzędzi, aż po wykorzystanie GitHuba jako miejsca do zrzucania eksfiltrowanych danych. Operatorzy również bardzo upodobali sobie korzystanie z TORa którego wykorzystywali do nawiązywania połączenia z implantami i dostępu do elementów infrastruktury takich jak skrzynki mailowe wykorzystane w operacjach.

Jak widzimy więc MSS nie próżnuje jeżeli chodzi o wykorzystanie operacji cyber do szpiegostwa. Aktywności ujawnione przez prywatne zespoły badawcze jak i organa ścigania przedstawiają obraz długofalowych operacji nastwionych na uzyskanie dostępu do środowiska celu i wykradanie danych na przestrzeni miesięcy czy lat. Pamiętajmy, że opisane tutaj włamania to z pewnością zaledwie wierzchołek góry lodowej – wyraźnie widać więc jak w zakresie operacji cyber MSS nadrobiło stratę pozycji na rzecz wywiadu wojskowego i być może jest teraz nawet bardziej aktywne niż PLA.

Tak wyglądają więc Chińskie służby nastawione ściśle na działania zagraniczne, w ostatnim poście z serii przyjrzymy się natomiast Ministerstwu Bezpieczeństwa Publicznego i jego roli w Chińskiej polityce cyberprzestrzeni.