Einige Beweise deuten darauf hin, dass die auf Indien ausgerichtete Hacking-Kampagne 2021 und der von Symantec identifizierte neue Stromnetzverstoß beide von demselben Hackerteam mit Verbindungen zur breiten Dachgruppe staatlich geförderter chinesischer Spione namens APT41 durchgeführt wurden, die manchmal auch „APT41“ genannt wird Böser Panda oder Barium. Symantec weist darauf hin, dass die Hacker, deren Grid-Hacking-Eingriff verfolgt wurde, eine Schadsoftware namens ShadowPad verwendeten, die 2017 von einer APT41-Untergruppe eingesetzt wurde, um Maschinen bei einem Supply-Chain-Angriff zu infizieren, bei dem Code beschädigt wurde, der vom Netzwerksoftwareunternehmen NetSarang und in mehreren anderen Unternehmen verteilt wurde Vorfälle seitdem. Im Jahr 2020 wurden fünf mutmaßliche Mitglieder von APT41 angeklagt und als Mitarbeiter eines Auftragnehmers des chinesischen Ministeriums für Staatssicherheit namens Chengdu 404 identifiziert. Doch erst letztes Jahr warnte der US-Geheimdienst, dass Hacker innerhalb von APT41 dies getan hätten Millionen an US-amerikanischen Covid-19-Hilfsgeldern gestohlenein seltener Fall staatlich geförderter Cyberkriminalität, die sich gegen eine andere Regierung richtet.
Obwohl Symantec die Grid-Hacking-Gruppe, die es RedFly nennt, nicht mit einer bestimmten Untergruppe von APT41 in Verbindung brachte, weisen Forscher des Cybersicherheitsunternehmens Mandiant darauf hin, dass sowohl der RedFly-Verstoß als auch die Jahre zuvor durchgeführte indische Grid-Hacking-Kampagne dieselbe Domäne als Befehl verwendeten -and-control-Server für ihre Malware: Websencl.com. Das deutet darauf hin, dass die RedFly-Gruppe tatsächlich mit beiden Fällen von Grid-Hacking in Verbindung gebracht werden könnte, sagt John Hultquist, der bei Mandiant die Bedrohungsanalyse leitet. (Angesichts der Tatsache, dass Symantec das asiatische Land, auf dessen Netz RedFly abzielte, nicht nennen wollte, fügt Hultquist hinzu, dass es sich tatsächlich erneut um Indien handeln könnte.)
Im weiteren Sinne sieht Hultquist den RedFly-Verstoß als ein besorgniserregendes Zeichen dafür, dass China seinen Fokus auf aggressivere Angriffe auf kritische Infrastrukturen wie Stromnetze verlagert. Jahrelang konzentrierte China seine staatlich geförderten Hackerangriffe weitgehend auf Spionage, auch wenn andere Länder wie Russland und der Iran versucht haben, in Stromversorger einzudringen, um offenbar Malware einzuschleusen, die taktische Stromausfälle auslösen kann. Der russische Militärgeheimdienst Sandworm beispielsweise hat versucht, drei Stromausfälle in der Ukraine herbeizuführen – zwei davon waren erfolgreich. Eine andere russische Gruppe, die mit ihrem FSB-Geheimdienst verbunden ist und als Berserk Bear bekannt ist, hat wiederholt das US-Stromnetz durchbrochen, um eine ähnliche Fähigkeit zu erlangen, jedoch ohne jemals versucht zu haben, eine Störung herbeizuführen.
Angesichts dieses jüngsten Einbruchs in das chinesische Netz deutet Hultquist nun darauf hin, dass einige chinesische Hackerteams möglicherweise eine ähnliche Mission wie die Berserk Bear-Gruppe haben: den Zugriff aufrechtzuerhalten, die für die Sabotage erforderliche Malware einzuschleusen und auf den Befehl zur Zustellung zu warten Nutzlast dieses Cyberangriffs zu einem strategischen Zeitpunkt. Und diese Mission bedeutet, dass die Hacker, die Symantec im Netz des namenlosen asiatischen Landes gefangen hat, mit ziemlicher Sicherheit zurückkehren werden, sagt er.
„Sie müssen den Zugang aufrechterhalten, was bedeutet, dass sie wahrscheinlich gleich wieder da reingehen werden. Sie werden erwischt, rüsten um und tauchen wieder auf“, sagt Hultquist. „Der Hauptfaktor hier ist ihre Fähigkeit, einfach am Ziel zu bleiben – bis es Zeit ist, den Abzug zu betätigen.“