Отчеты о целевых атаках (APT)

Spyware. HackingTeam

Cтатья подготовлена на основе технических данных, полученных экспертами «Лаборатории Касперского» в ходе анализа вредоносных программ Korablin и Morcut. Ряд заключений сделан специалистами Лаборатории на основании данных из открытых источников, список которых приведен в заключительной части публикации. Любые вопросы по содержанию статьи можно задать на сайте «Лаборатории Касперского» securelist.com или обратиться в службу по связям с общественностью на сайте «Лаборатории Касперского» Kaspersky.com.

Spyware для правоохранительных органов

Согласно определению на соответствующей странице Википедии, «Spyware (шпионское программное обеспечение) — программное обеспечение, осуществляющее деятельность по сбору информации о конфигурации компьютера, деятельности пользователя и любой другой конфиденциальной информации без согласия самого пользователя».

Хотя в большинстве стран действуют законы, запрещающие создание и распространение вредоносных программ, в настоящее время существуют как минимум три пакета программ, созданных, как уверяют разработчики, для сбора данных о работе пользователей на компьютерах и последующей передачи этой информации правоохранительным органам.

Первой широко известной подобной программой считается троянец Bundestrojaner, использовавшийся немецкими правоохранительными органами для слежки в интернете за подозреваемыми. Еще один известный шпион — FinSpy, созданный компанией Gamma International для предоставления правоохранительным органам разных стран возможности слежки за компьютерами и мобильными устройствами подозреваемых. Третьей шпионской программой является Remote Control System (RCS). Эта программа создана итальянской компанией HackingTeam с целью продажи представителям властей различных стран, и именно о ней и пойдёт речь в данной статье.

HackingTeam

Компания HackingTeam впервые привлекла наше внимание еще в 2011 году. Тогда на сайте WikiLeaks появились документы, датированные 2008 годом, описывающие функционал программ-шпионов, которые компания предлагала госорганам.

В начале 2012 года эксперты «Лаборатории Касперского» обнаружили вредоносные программы под Windows, имеющие поразительное сходство функций и с программами, описанными на WikiLeaks, и с программой Remote Control System, описание которой опубликовано на официальном сайте компании www.hackingteam.it. Однако тогда мы не догадывались о связях обнаруженных зловредов (ЛК детектирует их как Korablin) и шпионских программ от HackingTeam.


Описание программы c сайта HackingTeam (http://www.hackingteam.it/images/stories/RCS2012.pdf)

Всё изменилось в июле 2012 года, когда многие антивирусные компании получили письмо с образцом вредоносного кода под Mac OS X со всё тем же функционалом.

На адрес newvirus@kaspersky.com это письмо пришло 24 июля 2012 года в 05:51:24 по московскому времени. Оно не содержало ни темы, ни какого-либо текста — только вложенный файл AdobeFlashPlayer.zip. Во вложенном файле оказался самоподписанный JAR-файл, содержащий некую программу под Mac OS X.


Заголовки электронного письма, пришедшего на newvirus@kaspersky.com

Вскоре практически все антивирусные компании добавили детектирование новой вредоносной программы, которую каждая компания назвала по-своему — Crizis, DaVinci, Boychi и т.д. («Лаборатория Касперского» назвала ее Morcut). И почти все антивирусные компании заподозрили в создании этой программы итальянскую компанию HackingTeam, которая продает правоохранительным органам разных стран специальное ПО для слежки.

Доказательства

Наличие схожего функционала является только одним из трех косвенных свидетельств причастности Hackingteam к анализируемым файлам. Разберем остальные два.

В служебных данных полученного Mac-файла присутствовали имена папок и модулей, которые авторы использовали во время написания программного кода. В этих именах многократно встречалось сочетание букв RCS, которое совпадает с аббревиатурой программы Remote Control System (эта аббревиатура используется HackingTeam в промо-материалах и в описании программы на сайте).


Пример использования имени RCS в описании программы от HackingTeam на http://www.hackingteam.it/index.php/remote-control-system 


Использование сочетания букв RCS во вредоносной программе под MAC

И наконец, был найден эксплойт, загружающий зловред с сайта hackigteam.it (этот эксплойт загружен на сайт Virustotal.com 04 июля 2012 года).


Фрагмент полезной нагрузки эксплойта, загружающего вредоносную программу с сайта
hxxp://rcs-demo.hackingteam.it/***ploit.doc2

Таким образом, в ходе исследований было обнаружено:

  1. Совпадение функций вредоносной программы и программы, предлагаемой HackingTeam.
  2. Совпадения в названиях, используемых в служебных данных исследуемых зловредов и на сайте компании HackingTeam.
  3. Загрузка зловреда с сайта компании HackingTeam.

Исходя из этого, можно предположить, что программы-шпионы, попавшие в руки исследователей, с большой долей вероятности были созданы итальянской компанией HackingTeam. Для удобства в дальнейшем в этой статье мы будем называть эти вредоносные программы (и под Windows, и под Mac OS Х) RCS.

Кстати, вcё в тех же присланных по почте вредоносных файлах для Mac OS X оказались ссылки на файлы, находящиеся в папке некого пользователя guido:



Упоминание имени пользователя «guido» в коде вредоносной программы

Любопытное совпадение: пользователя, указавшего на сайте linkedin.com, что он работает старшим разработчиком компании HackingTeam, тоже зовут Guido.

Учетная запись пользователя «Guido ***», на сайте LinkedIn указавшего HackingTeam в качестве своего места работы

Шпион со странностями

В настоящее время в коллекции вредоносных программ «Лаборатории Касперского» насчитывается более 100 экземпляров RCS с практически идентичным функционалом. Как уже было сказано выше, описание этих самплов соответствует описанию программы Remote Control System на официальном сайте HackingTeam и описанию программы, созданной HackingTeam, опубликованному на сайте WikiLeaks (pdf).


Описание RCS, опубликованное на сайте WikiLeaks

Файлы RCS для ОС Windows написаны на языке программирования C++. Чтобы программа не привлекала внимание антивирусов, ее создатели практически не использовали методы защиты от анализа, а это характерно для программ, используемых при проведении целевых атак.

Весь функционал RCS можно увидеть в начале исполняемых файлов при инициализации объектов.


Инициализация объектов RCS

Из функционала следует, что RCS является самораспространяющейся вредоносной программой, предназначенной для кражи личных данных и предоставления удалённого доступа к зараженной системе.

Для выполнения шпионских функций программа использует копирование данных для доступа к учетным записям и перехват сообщений из браузеров (Firefox, InternetExplorer, Chrome, Opera), почтовых клиентов (Outlook, WindowsMail, Thunderbird) и средств обмена сообщениями (Yahoo, MSmessengers, GoogleTalk, Skype, Paltalk, Thrillian). Она также умеет записывать звуки с микрофона и писать видео с камеры и рабочего стола

Однако у RCS есть функции, которые, на мой взгляд, для шпионской программы избыточны. Анализ команд, приходящих с сервера управления RCS, позволяет выявить самые значимые из них. По команде с сервера управления RCS может активировать следующий функционал:

  1. Механизм самораспространения через USB-флешки:
    1. Использование стандартного механизма Autorun.inf (аналогично большинству червей, детектируемых ЛК как Worm.Win32.AutoRun);
    2. Использование фальшивой записи «Open folder to view files» (популярный метод, использующийся для самораспространения червей, в частности червя Kido/Confiker);
    3. Использование уязвимости CVE-2010-2568 (ее использовал Stuxnet при самораспространении через LNK-файлы).
  2. Заражение виртуальных машин Vmware с самокопированием в папку автозапуска виртуального диска.
  3. Заражение мобильных устройств BlackBerry и Windows CE.
  4. Механизм самообновления.
  5. Использование алгоритма шифрования AES для работы с файлами и серверами управления.
  6. Установка драйверов.

Подчеркнем, что в RCS нет никакого механизма достоверного копирования содержимого файловой системы или снятия содержимого оперативной памяти. Как следствие, результаты выполнения произвольного кода в системе (самообновление и установка драйверов) не позволяют однозначно утверждать, что, например, противоправный контент, находящийся на компьютере подозреваемого, был загружен туда именно подозреваемым, а не оператором RCS. Я считаю, что данная программа не может использоваться для сбора информации, которую предполагается предъявить в качестве доказательства совершения противоправных действий.

Можно сказать, что данная программа имеет довольно странный функционал: она делает то, чего делать не должна, и не делает того, что должна делать программа, собирающая информацию для судебно-технической экспертизы.

Распространение

RCS присутствует на зараженных компьютерах в виде нескольких файлов со случайными именами и одной активной динамической библиотеки, для установки которой требуются дополнительные вредоносные программы. В ходе анализа мы обнаружили дропперы и даунлоадеры, используемые для установки RCS.

Пример файлов, созданных программой – установщиком

После публикации на WikiLeaks я полагал, что, с учетом возможностей правоохранительных органов в различных странах,  распространение RCS осуществляется через подмену запрашиваемых исполняемых файлов на уровне интернет-провайдеров.

Однако самоподписанный JAR-файл, полученный в электронном письме в июле 2012, показал, что для распространения RCS могут использоваться и методы социальной инженерии.


Пример самоподписанного JAVA-апплета, устанавливающего RCS на компьютер пользователя

Атака при этом выглядит следующим образом. Пользователь получает на свой адрес электронной почты письмо, содержащее или ссылку на файл, или сам файл. Содержимое письма рассчитано на то, что получатель откроет файл (или пройдет по ссылке).

Нам также удалось установить, что по электронной почте могут распространяться дропперы и даунлоадеры, устанавливающие RCS. Вредоносные файлы с различными именами имеют расширения RAR, ZIP и EXE.

  • PPT.rar
  • FlashUpdate.exe
  • Setup.exe
  • Crack.exe
  • Photos.zip
  • GoogleUpdate.rar
  • Microsoft.exe
  • Install.rar
  • Wrar.exe
  • Important.rar

Список файлов, содержащих программу установки RCS

Кроме того, анализируя файлы, осуществляющие загрузку RCS, мы обнаружили ранее неизвестную уязвимость, впоследствии получившую номер CVE-2013-0633. Способ использования этой уязвимости оказался классическим для целевой атаки: пользователь получает электронное письмо с вложенным документом Word, который содержит 0-day эксплойт, в данном случае для Flash (этот эксплойт описан Adobe, например здесь).

Содержимое Word-документа, открывающегося после срабатывания эксплойта CVE-2013-0633 и устанавливающего RCS

Эксплойты

Активный поиск эксплойтов, устанавливающих RCS на компьютеры пользователей, начался после публикации лабораторией Citizen Lab в октябре 2012 года статьи, в которой было описано использование эксплойта к уязвимости CVE-2010-3333 для заражения компьютера правозащитника в ОАЭ программой RCS. На текущий момент список уязвимостей, используемых обнаруженными эксплойтами, выглядит так:

  • CVE-2010-3333
  • CVE-2012-1682
  • CVE-2012-4167
  • CVE-2012-5054
  • CVE-2013-0633

При этом следует отметить, что четыре уязвимости из представленного списка в течение нескольких месяцев оставались неизвестными. Соответственно, все это время эксплойты к этим неизвестным уязвимостям могли беспрепятственно проникать практически на любой компьютер.

В настоящее время существуют еще несколько уязвимостей, которые, как мы полагаем, могут использоваться для установки RCS. Однако серверы, с которых с помощью эксплойтов производится скрытая загрузка исполняемых файлов, работают в течение непродолжительного времени, и доказать, что эти эксплойты устанавливают именно RCS, пока не представляется возможным.

Нам удалось подтвердить загрузку RCS со следующих адресов:

106.187.**.51 2.228.65.***
112.***.65.110 50.7.***.220
173.255.215.** 50.116.***.11
Update*******.info 17******.com
176.**.100.37 56****.members.linode.com
176.74.1**.119 76.***.33.13
178.**.166.117 A*****.com
178.**.176.69 A***.com
183.98.1**.152 ****b.5gbfree.com
184.107.2**.78 li56*****.members.linode.com
Fira******.com *****update.selfip.com
187.***.43.35 Clos*****.com
198.58.**.113 Fad****.com
200.67.***.2 wiki-****.com
Tmx****.com wiki-*****.info
200.**.245.36

 

Морган Марки-Буар (Morgan Marquis-Boire) всё в той же публикации Citizen Lab. предположил, что при распространении продуктов HackingTeam используются эксплойты французской компании Vupen. Эта компания специализируется на поиске уязвимостей в популярном программном обеспечении и на продаже готовых эксплойтов правительствам разных стран. Однако до сих пор неизвестно, продаются ли эксплойты Vupen вместе с программами HackingTeam, или клиенты обеих компаний сами компонуют эти программы и используют их для слежки за подозреваемыми.

Специфика исполнения

Анализируя специфические функции работы RCS, мы выяснили некоторые формальные критерии, позволяющие определить принадлежность того или иного файла к продуктам HackingTeam и к RCS в частности.

  1. Использование отладочных механизмов во время исполнения программы.
    Во время исполнения программа может проверять свой PID и выводить сообщения о своей работе.

Пример проверки PID при первоначальной установке RCS

  1. Использование шифрованных AES POST запросов c фиксированным User-Agent’ом «Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0».
  2. Использование подписи исполняемых файлов для обхода систем защиты, установленных на компьютерах пользователей.


Пример 1: подпись компонента RCS


Пример 2: подписи компонентов RCS


Пример 3: подписи компонентов RCS

Подписи компонентов RCS, приведенные в примерах 1 и 2, выданы на физические лица. В последнем примере, в отличие от первых двух, сертификат выдан на имя некой организации. Название этой организации — OPM Security Corporation.

OPM Security

Кампания OPM Security зарегистрирована в Панаме и на  её сайте (www.opmsecurity.com) можно обнаружить, что OPM Security, помимо всего прочего, предлагает программный продукт под названием «Power Spy», описание которого полностью повторяет описание RCS от HackingTeam.

Описание программы «Power Spy» на сайте OPM Security (http://www.opmsecurity.com/security-tools/spying-on-on-your-husband-wife-children-or-employees.html)

Это даёт основание полагать, что компания OPM Security возможно продает либо какую-то старую, либо пиратскую версию RCS. Причем продает уже любому желающему — всего за 200 евро, хотя средняя цена от HackingTeam, по некоторым данным, составляет в среднем 600 000 евро.

Также следует отметить, что OPM Security является частью корпорации OPM Corporation, которая предлагает услуги по регистрации компании в оффшорах, получению второго паспорта и т.п.


Описание поля деятельности кампании OPM Corporation, опубликованное на сайте www.taxhavens.us

Статистика заражений

Ниже представлена карта, построенная на основе данных KSN о количестве попыток установки компонентов RCS на компьютерах пользователей в разных странах с начала 2012 года.

Поскольку RCS имеет многомодульную структуру, при построении данной карты суммировались данные о детектировании следующих вредоносных программ (имена по классификации «Лаборатории Касперского»):

  • Backdoor.OSX.Morcut
  • Rootkit.OSX.Morcut
  • Trojan.OSX.Morcut
  • Backdoor.Win32.Korablin
  • Backdoor.Win64.Korablin
  • Rootkit.Win32.Korablin
  • Rootkit.Win64.Korablin
  • Trojan.Multi.Korablin
  • Trojan-Dropper.Win32.Korablin
  • Trojan-PSW.Win32.Agent.acnn

Если пользователь несколько раз подвергался атаке, то данные по количеству детектирований суммировались.


Суммарное число зафиксированных попыток установки RCS на компьютерах пользователей ЛК в разных странах мира, январь 2012 – февраль 2013

Подчеркнем, что мы располагаем информацией о попытках заражения компьютеров только пользователей «Лаборатории Касперского», и только тех из них, кто добровольно подтвердил свое участие в KSN. Учитывая специфику и точечный характер атак RCS, таких пользователей не может быть много.

Оценить заинтересованность атакующих можно, сравнив число попыток заражения, которые пришлись на один атакованный компьютер в каждой стране. Отметим, что по этому показателю лидируют Таджикистан и Индия – при том, что в каждой из стран был атакован всего 1 компьютер, на него весьма настойчиво пытались установить RCS – 21 и 20 нотификаций соответственно.

Весьма активно используется RCS в Мексике, где на каждого из 11 атакованных компьютеров пришлось 14,5 попыток заражения. Больше всего атакованных пользователей в Италии — 19, —на каждого из них приходится 6,5 отраженных атак.

Страна Количество уникальных пользователей Количество атак Число атак на одного пользователя
Мексика 11 159 14.5
Италия 19 123 6.5
Вьетнам 10 88 8.8
Объединенные Арабские Эмираты 9 77 8.6
Ирак 5 42 8.4
Ливан 2 29 14.5
Марокко 4 27 6.8
Панама 4 23 5.8
Таджикистан 1 21 21.0
Индия 1 20 20
Иран 2 19 9.5
Саудовская Аравия 3 19 6.3
Республика Корея 5 18 3.6
Испания 4 18 4.5
Польша 6 16 2.7
Турция 5 12 2.4
Аргентина 2 12 6.0
Канада 1 8 8.0
Мали 1 8 8.0
Оман 1 8 8.0
Китай 3 8 2.7
США 4 6 1.5
Казахстан 2 5 2.5
Египет 1 5 5.0
Украина 1 5 5.0
Узбекистан 1 5 5.0
Колумбия 1 4 4.0
Тайвань 3 4 1.3
Бразилия 2 4 2.0
Россия 2 4 2.0
Киргизия 2 3 1.5
Великобритания 1 3 3.0
Бахрейн 1 2 2.0
Эфиопия 1 1 1.0
Индонезия 1 1 1.0
Германия 1 1 1.0
Ливия 1 1 1.0

 

Активность попыток установки RCS на компьютерах пользователей ЛК в разных странах мира, январь 2012 – февраль 2013

При этом чуть менее 10 инцидентов было зафиксировано на рабочих станциях в правительственных учреждениях, промышленных компаниях, адвокатских конторах и СМИ.

Заключение

За последние годы в мире произошли значительные изменения, о которых пользователи узнали не так давно: были обнаружены программы, которые использовались как кибероружие и как средства кибершпионажа.

Появились также частные компании, которые , согласно информации на их официальных сайтах, разрабатывают и предлагают правоохранительным органам программы для сбора информации с компьютеров пользователей. Страны, у которых нет соответствующих технических возможностей, могут покупать программы с подобным функционалом у частных компаний. Несмотря на наличие в большинстве стран законов, запрещающих создание и распространение вредоносных программ, программы-шпионы предлагаются практически без какой-либо маскировки их функций.

Пока таких компаний мало и конкуренции на этом рынке почти нет, что создаёт благоприятные условия для появления новых игроков и начала технологической гонки между ними. При этом компании, по нашим данным, не несут ответственности за дальнейшую судьбу созданных ими программ, которые могут использоваться для слежки, в межгосударственном шпионаже, либо с традиционной для обычного киберкриминала целью обогащения.

Ситуация осложняется возможностью появления подобных программ и на открытом рынке, где их могут перепродавать, например, подставные компании — кому и когда угодно.

Ссылки

  1. Рекламная брошюра RCS: http://www.hackingteam.it/images/stories/RCS2012.pdf
  2. Статья о расследовании RCS, проведенного лабораторией CitizenLab https://citizenlab.org/2012/10/backdoors-are-forever-hacking-team-and-the-targeting-of-dissent/
  3. Описание работы компании Vupen http://www.vupen.com/english/company.php
  4. Запись в блоге Adobe об обнаружении неизвестной уязвимости http://blogs.adobe.com/psirt/2013/02/security-updates-available-for-adobe-flash-player-apsb13-04.html
  5. Документы HackingTeam, опубликованные на сайте WikiLeaks http://wikileaks.org/spyfiles/files/0/31_200810-ISS-PRG-HACKINGTEAM.pdf
  6. Описание программы PowerSpy от компании OPM Security: http://www.opmsecurity.com/security-tools/spying-on-on-your-husband-wife-children-or-employees.html

Spyware. HackingTeam

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике