Сбор геополитической разведывательной информации в странах Азиатско-Тихоокеанского региона
Наш недавний отчет “Хроники APT-атак Hellsing: Империя наносит ответный удар” начинался с описания APT-группировки Naikon, которая характеризовалась как «одна из наиболее активных APT-группировок в Азии, особенно в районе Южно-Китайского моря». Она упоминалась в связи с уникальной и удивительной историей возмездия, выпавшей на ее долю. Именно благодаря атаке Naikon на организацию, связанную с APT-группировкой Hellsing, мы впервые узнали о Hellsing. Учитывая масштаб деятельности Naikon, неумолимость и упорство ее атак, это столкновение следовало изучить, что мы и сделали.
Naikon стала объектом адресного фишинга со стороны группировки, которую мы назвали «Hellsing»
Tweet
APT-группировка Naikon похожа на группировку APT30, недавно обнаруженную нашими коллегами из FireEye, но точного соответствия мы не нашли. Вряд ли стоит удивляться отдельным совпадениям, учитывая, что обе группировки в течение многих лет выкачивали информацию из своих жертв в регионе Южно-Китайского моря, очевидно охотясь за геополитическими разведывательными данными.
Группировка Naikon 5 лет выкачивала информацию из своих жертв, охотясь за геополитическими разведывательными данными
Tweet
В следующем отчете о Naikon мы проанализируем тактические приемы, методы и процедуры, применяемые этой группировкой, и невероятный масштаб атак в регионе Южно-Китайского моря, ведущихся, по меньшей мере, с 2010 года.
Отличительные рабочие и логистические характеристики этой APT-группировки:
- Масштабные геополитические атаки на важные государственные организации на протяжении как минимум пяти лет
- Географическая направленность: индивидуальное назначение оператора для каждой страны и использование прокси-серверов
- Динамичная, хорошо организованная инфраструктура
- Использование согласованного набора инструментов сторонних разработчиков, в состав которого входят: полнофункциональный бэкдор, обычный компоновщик и компоновщик эксплойтов
- Высокая доля успешных попыток проникновения в государственные организации стран АСЕАН
Сфокусированность и эффективная деятельность в регионе Южно-Китайского моря
Весной 2014 года мы обратили внимание на рост числа атак со стороны APT-группировки Naikon. Родным языком злоумышленников, по-видимому, являлся китайский, а их атаки были в основном нацелены на государственные учреждения, гражданские и военные организации высшего звена в таких странах, как Филиппины, Малайзия, Камбоджа, Индонезия, Вьетнам, Мьянма, Сингапур, Непал, Таиланд, Лаос и Китай.
Приманка
Атака обычно начинается с отправки письма с вложением, которое может заинтересовать потенциальную жертву. Вложение может содержать сведения из открытых источников или конфиденциальную информацию, украденную из других взломанных систем.
Вложение-приманка выглядит как стандартный документ Word. На самом деле это эксплойт к уязвимости CVE-2012-0158 – исполняемый файл с двойным расширением либо с именем, созданным с помощью техники RTLO (Right-to-Left Override), который может выполнить код без ведома и согласия пользователя. Во время выполнения этот файл устанавливает на компьютер жертвы шпионское ПО и одновременно выводит на экран текст документа-приманки, так что обманутый пользователь думает, что открыл обычный документ.
Конфигурация
Выбранный Naikon инструмент генерирует небольшой специальный зашифрованный файл размером 8000 байт; он содержит код, который должен быть внедрен в браузер вместе с данными конфигурации. С помощью модуля запуска весь этот файл внедряется в память браузера и расшифровывает блок конфигурации, который содержит:
- информацию о командном сервере
- номера портов и путь к серверу
- строку User-agent
- имена файлов и пути к компонентам
- хэш-суммы функций пользовательского API
Затем этот же код скачивает с командного сервера через SSL-протокол основное тело зловреда, загружает его в обход функций операционной системы и, не сохраняя на жестком диске, передает управление функции XS02. Вся функциональная обработка происходит в памяти.
Функциональность
Главный модуль представляет собой утилиту удаленного администрирования. Используя SSL-протокол, модуль устанавливает обратное соединение с командным сервером следующим образом: он устанавливает с командным сервером исходящее соединение и проверяет, нет ли команды, которую он должен выполнить. Если такая команда поступает, он выполняет ее и возвращает результат командному серверу. В репертуаре модуля 48 различных команд, с помощью которых удаленный оператор может эффективно управлять компьютером жертвы. Среди них – получение полной информации об аппаратном и программном обеспечении компьютера, скачивание и загрузка данных, установка модулей расширения и работа с командной строкой.
В арсенале главного модуля 48 команд, с помощью которых злоумышленники могут управлять компьютером жертвы
Tweet
Полный перечень команд главного модуля:
0 | CMD_MAIN_INFO |
1 | CMD_PROCESS_REFRESH |
2 | CMD_PROCESS_NAME |
3 | CMD_PROCESS_KILL |
4 | CMD_PROCESS_MODULE |
5 | CMD_DRIVE_REFRESH |
6 | CMD_DIRECTORY |
7 | CMD_DIRECTORY_CREATE |
8 | CMD_DIRECTORY_CREATE_HIDDEN |
9 | CMD_DIRECTORY_DELETE |
10 | CMD_DIRECTORY_RENAME |
11 | CMD_DIRECOTRY_DOWNLOAD |
12 | CMD_FILE_REFRESH |
13 | CMD_FILE_DELETE |
14 | CMD_FILE_RENAME |
15 | CMD_FILE_EXECUTE_NORMAL |
16 | CMD_FILE_EXECUTE_HIDDEN |
17 | CMD_FILE_EXECUTE_NORMAL_CMD |
18 | CMD_FILE_EXECUTE_HIDDEN_CMD |
19 | CMD_FILE_UPLOAD |
20 | CMD_FILE_DOWNLOAD |
21 | CMD_WINDOWS_INFO |
22 | CMD_WINDOWS_MESSAGE |
23 | CMD_SHELL_OPEN |
24 | CMD_SHELL_CLOSE |
25 | CMD_SHELL_WRITE |
26 | CMD_SERVICE_REFRESH |
27 | CMD_SERVICE_CONTROL |
28 | CMD_PROGRAM_INFO |
29 | CMD_UNINSTALL_PROGRAM |
30 | CMD_REGESTRY_INFO |
31 | CMD_ADD_AUTO_START |
32 | CMD_MY_PLUGIN |
33 | CMD_3RD_PLUGIN |
34 | CMD_REG_CREATEKEY |
35 | CMD_REG_DELETEKEY |
36 | CMD_REG_SETVALUE |
37 | CMD_REG_DELETEVALUE |
38 | CMD_SELF_KILL |
39 | CMD_SELF_RESTART |
40 | CMD_SELF_CONFIG |
41 | CMD_SELF_UPDATE |
42 | CMD_SERVER_INFO |
43 | CMD_INSTALL_SERVICE |
44 | CMD_FILE_DOWNLOAD2 |
45 | CMD_RESET |
46 | CMD_CONNECTION_TABLE |
50 | CMD_HEART_BEAT |
Существует несколько модификаций главного модуля. Между ними нет существенных различий, но в более поздних версиях появились некоторые дополнительные функции, включая сжатие и шифрование передаваемых данных и скачивание больших файлов по частям.
d085ba82824c1e61e93e113a705b8e9a | 118272 | Aug 23 18:46:57 2012 |
b4a8dc9eb26e727eafb6c8477963829c | 140800 | May 20 11:56:38 2013 |
172fd9cce78de38d8cbcad605e3d6675 | 118784 | Jun 13 12:14:40 2013 |
d74a7e7a4de0da503472f1f051b68745 | 190464 | Aug 19 05:30:12 2013 |
93e84075bef7a11832d9c5aa70135dc6 | 154624 | Jan 07 04:39:43 2014 |
Работа командных серверов и использование прокси-серверов
Работа командных серверов имеет следующие отличительные особенности:
- низкие требования к техническому обслуживанию
- назначение задач с учетом географического положения
- различные подходы к передаче данных
Командные серверы должны иметь нескольких операторов для управления всей сетью. Очевидно, каждый оператор имеет собственный набор целей, так как прослеживается корреляция между командными серверами и местоположением целей/жертв.
Прослеживается корреляция между географическим местоположением командных серверов Naikon и целей/жертв
Tweet
Обмен данными с атакуемыми системами может быть организован по-разному и зависит от конкретной атакуемой цели. Иногда между компьютером жертвы и командным центром устанавливается прямое соединение. В других случаях соединение происходит через выделенные прокси-серверы, установленные на выделенных серверах, которые арендуются в третьих странах. По всей видимости, эта дополнительная возможность стала реакцией на то, что в некоторых атакуемых организациях сетевые администраторы ограничивают или отслеживают исходящие сетевые соединения.
Неполный перечень командных серверов демонстрирует корреляцию с географическим местоположением жертв:
ID | Джакарта | linda.googlenow.in |
ID | Джакарта | admin0805.gnway.net |
ID | Джакарта | free.googlenow.in |
ID | frankhere.oicp.net | |
ID | Бандунг | frankhere.oicp.net |
ID | Бандунг | telcom.dhtu.info |
ID | Джакарта | laotel08.vicp.net |
JP | Токио | greensky27.vicp.net |
KH | googlemm.vicp.net | |
KH | Пномпень | googlemm.vicp.net |
MM | peacesyou.imwork.net | |
MM | sayakyaw.xicp.net | |
MM | ubaoyouxiang.gicp.net | |
MM | Янгон | htkg009.gicp.net |
MM | kyawthumyin.xicp.net | |
MM | myanmartech.vicp.net | |
MM | test-user123.vicp.cc | |
MY | us.googlereader.pw | |
MY | net.googlereader.pw | |
MY | lovethai.vicp.net | |
MY | yahoo.goodns.in | |
MY | Путраджая | xl.findmy.pw |
MY | Путраджая | xl.kevins.pw |
PH | Калобкан | oraydns.googlesec.pw |
PH | Калобкан | gov.yahoomail.pw |
PH | pp.googledata.pw | |
PH | xl.findmy.pw | |
PH | mlfjcjssl.gicp.net | |
PH | o.wm.ggpw.pw | |
PH | oooppp.findmy.pw | |
PH | cipta.kevins.pw | |
PH | phi.yahoomail.pw | |
SG | Сингапур | xl.findmy.pw |
SG | Сингапур | dd.googleoffice.in |
VN | Ханой | moziliafirefox.wicp.net |
VN | Ханой | bkav.imshop.in |
VN | Ханой | baomoi.coyo.eu |
VN | Донг Кет | macstore.vicp.cc |
VN | Ханой | downloadwindows.imwork.net |
VN | Ханой | vietkey.xicp.net |
VN | Ханой | baomoi.vicp.cc |
VN | Ханой | downloadwindow.imwork.net |
VN | Бинь Дуонг | www.ttxvn.net |
VN | Бинь Дуонг | vietlex.gnway.net |
VN | Ханой | www.ttxvn.net |
VN | Ханой | us.googlereader.pw |
VN | Ханой | yahoo.goodns.in |
VN | Ханой | lovethai.vicp.net |
VN | Ханой | vietlex.gnway.net |
XSControl – «программа управления жертвами» APT-группировки Naikon
Командный сервер в структуре Naikon может быть специализированной программой XSControl, которая выполняется на машине оператора. С ее помощью можно управлять всей сетью зараженных клиентов. В некоторых случаях для туннелирования трафика жертвы на сервер XSControl используется прокси-сервер. Прокси-сервер Naikon – это выделенный сервер, который принимает входящие соединения с зараженных компьютеров и перенаправляет их на C&C. В каждой атакуемой стране может быть установлен отдельный прокси-сервер Naikon для туннелирования трафика с зараженных систем на соответствующие командные сервера.
Программа XSControl написана на платформе .NET с использованием библиотеки компонентов DevExpress:
Основные функциональные возможности XSControl:
- Прием начальных запросов клиентов на установление соединения
- Передача клиентам главного модуля удаленного администрирования
- Использование клиентов для удаленного администрирования зараженных компьютеров через GUI
- Ведение журналов операций клиентов
- Ведение журналов действий операторов
- Загрузка журналов и файлов на FTP-сервер
Журналы действий операторов содержат следующую информацию:
- XML-базу скачанных файлов с указанием времени операции, удаленного и локального пути к файлам
- базу данных имен файлов, ключи реестра на компьютере жертвы для файлов и запрошенных разделов
- историю выполненных команд
Страна X, оператор X
Теперь рассмотрим одну кампанию Naikon, направленную на страну “X”.
Анализ показал, что кампания кибершпионажа против страны X велась на протяжении многих лет. Компьютеры, зараженные модулями дистанционного управления, предоставляли злоумышленникам доступ к корпоративной почте сотрудников и внутренним ресурсам, а также к содержанию личной и корпоративной почты, хранящейся на внешних сервисах.
Вот неполный перечень организаций, пострадавших от действий «оператора X» в ходе кампании кибершпионажа Naikon в стране X:
- Канцелярия президента
- Вооруженные силы
- Секретариат кабинета министров
- Совет национальной безопасности
- Генеральная прокуратура
- Национальное агентство координации разведки
- Управление гражданской авиации
- Министерство юстиции
- Государственная полиция
- Администрация кабинета министров / президента
Некоторые из этих организаций были основными целями и находились под постоянным наблюдением в режиме реального времени. Во время мониторинга сети оператора X злоумышленники разместили прокси-серверы Naikon внутри страны для поддержки и маскировки исходящих соединений в режиме реального времени и скачивания данных важных государственных организаций.
Чтобы получить учетные данные сотрудников, оператор X иногда использовал клавиатурных шпионов. При необходимости он загружал их через клиента дистанционного управления. Кроме того, для считывания нажатий клавиш злоумышленники перехватывали сетевой трафик. Дальнейшее распространение вредоносного ПО происходило через копирование и удаленную установку инструмента winpcap на настольных системах офисных сетей, содержащих конфиденциальные данные, с последующим дистанционным созданием заданий AT для запуска этих анализаторов сетевых пакетов (снифферов). Некоторые APT-группировки, подобные Naikon, распространяют такие инструменты не в одной, а в нескольких системах, чтобы восстановить контроль, если он был случайно потерян, и сохранить свое присутствие.
Группировка Naikon использовала культурные особенности атакуемых стран
Tweet
Кроме того, оператор X использовал культурные особенности атакуемых стран, например, регулярное и широко распространенное использование для работы личных учетных записей Gmail. Для APT-группировки Naikon не составило труда зарегистрировать похожие почтовые адреса и организовать адресный фишинг, рассылая своим жертвам письма с вложениями, ссылками на сайты с вредоносным ПО или на Google Диск.
Империя наносит ответный удар
Время от времени Naikon сталкивается с другими APT-группировками, действующими в том же регионе. Так, мы обнаружили, что Naikon стала объектом адресного фишинга со стороны группировки, которую мы назвали “Hellsing”. Подробнее об играх «рыцарей плаща и кинжала» – Naikon и Hellsing – можно прочесть в нашем блоге в заметке “Хроники APT-атак Hellsing: Империя наносит ответный удар”.
APT-группировка Naikon
Илья
Сдается, что страна Х это Филиппины?