В предыдущем блогпосте мы писали о вредоносной кампании Madi, обнаруженной в ходе совместного расследования с нашим партнером Seculert (http://blog.seculert.com/2012/07/mahdi-cyberwar-savior.html).
В этом блогпосте мы расскажем об инфраструктуре Madi, коммуникациях, сборе данных и жертвах.
Слежка за жертвами и коммуникации реализованы в инфраструктуре Madi достаточно просто. В настоящее время действуют пять командных веб-серверов, на которых установлен веб-сервер Microsoft IIS v7.0, а также Microsoft Terminal Services для RDP-доступа. Кроме того, на всех серверах используются одинаковые копии нестандартного ПО для управления сервером, написанного на C#. Эти же серверы используются для сбора украденных данных. Судя по всему, обработка украденных данных на стороне сервера организована не особенно хорошо: для изучения данных, полученных с каждой из взломанных систем, в разное время на сервер приходится заходить разным операторам.
Операторы по неизвестной пока причине осуществляли ротацию сервисов, доступных по этим IP-адресам: на данный момент не удалось определить закономерность, определяющую, какими экземплярами вредоносных программ управляет какой сервер. Согласно данным, полученным с sinkhole-марштуризатора и из других надежных источников, которые позволили определить примерное местонахождение жертв Madi, они преимущественно распределены территориально по Ближнему Востоку, однако некоторые из них находятся в США и ЕС. Похоже, что среди жертв есть специалисты и представители университетской среды (как студенты, так и преподаватели), которые путешествуют по всему миру с ноутбуками, зараженными шпионским ПО Madi:
Ниже представлена схематичная карта мира, на которой показано приблизительное местонахождение жертв Madi, определенное на основе данных GeoIP. И хотя на диаграмме плохо видно, что подавляющее большинство жертв Madi находятся на Ближнем Востоке, она дает представление о масштабах распространения Madi:
Некоторые связанные с вредоносной программой домены, не охваченные нашим sinkhole-маршрутизатором, на следующий день после публикации нашего блогпоста попали в сферу действия sinkhole-маршрутизаторов других групп, работающих в сфере информационной безопасности. Однако проблема со сроками и подходом новых игроков заключается в том, что активные на данный момент шпионские программы и загрузчики по большей части не «общаются» с этими доменами, соединяясь напрямую с действующими веб-серверами по жестко прописанным в коде IP-адресам без использования системы разрешения доменных имен (DNS). Чтобы облегчить данный процесс, авторы зловредов встроили в загрузчики функционал обновления. В случае переключения группы зараженных компьютеров на другой домен или IP-адрес, загрузчик или шпионский компонент Madi должен был загрузить с назначенного ему командного сервера IP-адрес или доменное имя своего нового командного сервера, сохранить новые данные в текстовом файле на диске, а затем выйти на связь с новым командным сервером. Такой подход выглядит грубым на фоне других примеров устойчивой к внешним воздействиям киберкриминальной инфраструктуры.
Анализ IP-адресов, с которых устанавливаются соединения с командным сервером, и номеров автономных систем (ASN), к которым они относятся, показал, что источником большей части активности является Иран:
Иран 84%
Пакистан 6%
США 3%
Израиль 1%
ОАЭ <1%
Саудовская Аравия <1%
Мы разослали крупнейшую коллекцию образцов, относящихся к данной угрозе, большому количеству разработчиков защитных решений и групп реагирования на инциденты в области IT-безопасности. Мы получили содержательный ответ лишь от пары вендоров, приславших лишь несколько исполняемых файлов, которых не было в нашей коллекции. Соответственно, представленные здесь данные на данный момент являются наиболее достоверными из имеющихся результатов исследований, даже с учетом того, что на наши backend-сервисы продолжают поступать новые образцы Madi:
Локаторы командных серверов, прописанные в коде загрузчиков Madi
Можно построить временную шкалу, отражающую деятельность проектной группы Madi в последнее время. Наибольшее число загрузчиков Madi создано разработчиками в декабре 2011 года, феврале и марте 2012, а потом в июне 2012 года. Наиболее ранний из имеющихся в нашей коллекции образцов троянца Madi создан в сентябре 2011 года, скорее всего, на тестовой стадии проекта. Домен, с которого он получает команды, был создан 10 августа 2011 года.
Похоже, что все так и было, поскольку другие аналитики в частном порядке обсуждали, что кампания по целевому фишингу вышла на максимальные объемы в феврале 2012 года. Следует иметь в виду, что данная информация была собрана с мишеней, находящихся за пределами Ирана. Нам неизвестно о том, как менялась интенсивность активности на территории Ирана, хотя вышеупомянутые тенденции могут помочь найти ответы на эти вопросы.
Нам также известно, что компоненты, крадущие конфиденциальную информацию, составляют малую часть всего объема кода, а их выпуск проходил по отдельному графику. Мы обнаружили пятимесячный промежуток, в течение которого были созданы компоненты Madi, крадущие конфиденциальную информацию, и соответствующие URL-адреса, с которыми они соединялись для получения инструкций и загрузки с компьютеров жертв скриншотов, данных, полученных от клавиатурных шпионов, украденных документов и контрактов:
Помимо представленной здесь информации, наш партнер Seculert опубликовал свой аналитический материал об инфраструктуре Madi C2 здесь: http://blog.seculert.com/2012/07/mahdi-numbers-and-flame-connection.html».
Примечание: 25 июля мы получили новый вариант Madi, который соединяется с новым командным сервером в Канаде. В настоящее время мы его изучаем, и информация о новом командном сервере не рассмотрена в данном блогпосте.
Кампания Madi — Часть II