Что важного произошло в связи с APT-угрозами в 2019 году, а главное, какие выводы можно из этого сделать?
Ответить на этот вопрос непросто, поскольку исследователи никогда не видят полной картины и не знают всей подоплеки кибератак. Тем не менее, мы попытаемся рассмотреть проблему с разных сторон и с опорой на имеющуюся у нас информацию сформировать более полное представление о прошедших событиях.
Компрометация цепочек поставок
За последние годы было проведено немало успешных атак на цепочки поставок. Наиболее яркие примеры — ShadowPad, ExPetr и бэкдор в CCleaner. В своем прогнозе на 2019 год мы отметили, что этот вектор атак, скорее всего, продолжит развиваться. Нам не пришлось долго ждать, чтобы убедиться в правильности этого предположения.
В январе мы обнаружили изощренную атаку на цепочку поставок с использованием утилиты от одного популярного вендора, предназначенной для обновления BIOS, UEFI и другого ПО на ноутбуках и настольных компьютерах. Злоумышленники, организовавшие операцию ShadowHammer, добавили в утилиту бэкдор, а затем распространили скомпрометированную программу среди пользователей через официальные каналы. Атака была направлена на неопределенную группу пользователей, идентифицированных по MAC-адресам сетевых адаптеров. Список MAC-адресов был жестко задан в коде зараженных образцов утилиты и указывал на конечные цели этой масштабной операции. Мы проанализировали свыше 200 образцов, обнаруженных в ходе расследования атаки, и извлекли из них более 600 уникальных MAC-адресов. При этом могут существовать и другие образцы, нацеленные на другие MAC-адреса. Ознакомиться с нашими отчетами по ShadowHammer можно здесь и здесь.
Дезинформация
В третьем квартале наиболее интересно ситуация с APT-угрозами развивалась на Ближнем Востоке. Речь идет в первую очередь о нескольких утечках информации, якобы связанных с деятельностью иранских киберпреступников. Скомпрометированные данные появлялись в Сети с интервалами всего в несколько недель. При этом одна из утечек могла быть частью дезинформационной кампании, в которой участвовала группировка Sofacy/Hades.
В марте неизвестный под никами Dookhtegan и Lab_dookhtegan начал публиковать в Twitter сообщения с хештегом #apt34. Он распространил несколько файлов, предположительно принадлежащих группировке OilRig, через Telegram. В них были логины и пароли пользователей, якобы пострадавших от взлома, инструменты, информация об инфраструктуре, потенциально связанной с рядом вторжений, профили предполагаемых злоумышленников и список веб-шеллов. Все эти данные относились к периоду с 2014 по 2018 год. Перечисленные цели и методы действительно напоминают почерк OilRig, но подтвердить происхождение инструментов, найденных в файлах, не удалось. Обнародованная информация, если считать ее достоверной, говорит о глобальных масштабах деятельности группировки, хотя ранее предполагалось, что она работает преимущественно на Ближнем Востоке.
Еще одна утечка также произошла весной. 22 апреля некто с ником Bl4ck_B0X создал Telegram-канал под названием GreenLeakers. Как пояснил сам автор, канал предназначен для бесплатного раскрытия информации об участниках APT-группировки MuddyWater, «а также об их супругах, матерях и т. д.». Также в послании Bl4ck_B0X был намек на возможную продажу «сверхсекретных» данных, связанных с MuddyWater. 27 апреля в Telegram-канале GreenLeakers появились три скриншота якобы с командного сервера MuddyWater. Однако 1 мая канал поменял статус на приватный и закрылся для широкой публики. К этому моменту его автор Bl4ck_B0X так и не опубликовал обещанную информацию о группировке MuddyWater. Причина закрытия канала до сих пор неизвестна.
Наконец, веб-сайт Hidden Reality опубликовал данные, якобы связанные с иранской группировкой RANA Institute. Это была третья за два месяца утечка с подробностями об иранских киберпреступниках и группировках. Только на этот раз сведения появились на специальном веб-сайте, где каждый мог ознакомиться с обнародованными документами. Кроме того, через профили в Telegram и Twitter публиковались сообщения, описывающие возможности компьютерных сетевых операций (CNO) Ирана. На сайте Hidden Reality размещались внутренние документы, сообщения чатов и другие данные о CNO-возможностях группы RANA Institute, а также информация о жертвах. В отличие от этой, прошлые утечки были сосредоточены на инструментах, исходном коде и профилях отдельных киберпреступников.
Тщательно проанализировав все материалы, данные об инфраструктуре и сайт, созданный специально для обнародования информации, мы пришли к выводу, что к утечкам вполне могла иметь отношение группировка Sofacy/Hades.
Lost in Translation и Dark Universe
Получившая широкую известность утечка Lost in Translation, организованная группировкой Shadow Brokers, содержала интересный скрипт Python — sigs.py. Он предназначен для проверки компрометации системы другими угрозами. Каждой проверке соответствует отдельная функция, пытающаяся обнаружить в системе уникальную сигнатуру (например, файл с уникальным именем или путем в реестре). Всего в sigs.py 44 записи, при этом некоторые проверки оставлены пустыми. Многие записи связаны с неизвестными APT-угрозами, о которых нет никакой общедоступной информации.
В 2019 году мы идентифицировали APT-угрозу, описанную в 27-й функции файла sigs.py. Мы назвали ее DarkUniverse. С определенной уверенностью можно полагать, что DarkUniverse связана с вредоносным ПО ItaDuke, — на это указывают совпадения некоторых участков кода.
Основным компонентом зловреда является достаточно простая библиотека DLL с единственной экспортируемой функцией, обеспечивающей сохранность и целостность программы, обмен информацией с командным сервером и управление другими модулями. Мы нашли порядка 20 жертв этой угрозы в Западной Азии и Северо-Восточной Африке, включая учреждения здравоохранения, организации, связанные с атомной энергетикой, военные организации и телекоммуникационные компании.
Мобильные атаки
Мобильные импланты стали неотъемлемой частью инструментария многих APT-группировок. В 2019 году это неоднократно подтверждалось.
В мае издание Financial Times сообщило об использовании хакерами уязвимости нулевого дня в WhatsApp, позволявшей подслушивать пользователей, читать их зашифрованную переписку, включать микрофон и камеру и устанавливать шпионское ПО для дальнейшей, более глубокой слежки. Чтобы воспользоваться уязвимостью, злоумышленник мог просто позвонить жертве по WhatsApp. Особая конфигурация вызова провоцировала переполнение буфера клиента WhatsApp и открывала атакующему возможность перехватить контроль над приложением и выполнить из него произвольный код. По-видимому, злоумышленники прибегали к этому методу не только для прослушивания звонков и перехвата переписки пользователей, но и для установки своих приложений на устройства за счет ранее неизвестных уязвимостей в операционных системах. Разработчики WhatsApp быстро выпустили исправление, и на этом, казалось бы, все закончилось. Однако в октябре компания подала иск против израильской фирмы NSO Group, обвиняя последнюю в создании эксплойта. WhatsApp заявила, что технология, продаваемая NSO, была использована для атаки на мобильные телефоны более 1400 пользователей в 20 странах, в числе которых были правозащитники, журналисты и другие общественные деятели. NSO все обвинения отрицает.
В июле мы опубликовали закрытый отчет о последних версиях FinSpy для Android и iOS, разработанных в середине 2018 года. Создатели FinSpy продают свое ПО правительственным и правоохранительным органам по всему миру, помогая им собирать конфиденциальную информацию пользователей на различных платформах. При этом мобильные импланты для iOS и Android реализованы схожим образом. Они позволяют собирать личные сведения, такие как контакты, сообщения, электронные письма, календари, GPS-координаты, фотографии, файлы в памяти устройства, записи телефонных разговоров и данные из наиболее популярных мессенджеров. С помощью импланта для Android можно также получить root-привилегии на нерутованном устройстве, используя известные уязвимости. Имплант для iOS, по всей видимости, не предоставляет возможностей для заражения, но помогает удалять следы использования общедоступных инструментов для джейлбрейка. А значит, программе необходим физический доступ к устройству жертвы, если оно еще не взломано. Последняя версия ПО включает целый ряд ранее неизвестных функций. В ходе нашего недавнего исследования мы обнаружили актуальные версии имплантов более чем в 20 странах, хотя размер клиентской базы позволяет предположить, что реальное количество жертв гораздо больше.
В августе команда Project Zero компании Google опубликовала подробный анализ не менее 14 угроз нулевого дня для iOS, обнаруженных в реальной среде и использованных в пяти цепочках поражения для повышения уровня привилегий. Злоумышленники, стоявшие за этими атаками, неизвестны. По информации Google, уже около трех лет они задействовали для доставки эксплойтов множество сайтов-рассадников. В блоге нет подробной информации о скомпрометированных ресурсах и их актуальности, но Google утверждает, что в неделю их посещают тысячи пользователей. Случайный характер выбора жертв позволяет предположить, что атаки не были целевыми. Однако злоумышленники, вероятно, располагали немалыми ресурсами: при не слишком высокой посещаемости сайтов-рассадников им удавалось обеспечивать доставку и установку вредоносного ПО, а также поддерживать цепочки поражения в актуальном состоянии на протяжении более двух лет.
В сентябре компания Zerodium, известный брокер уязвимостей нулевого дня, объявила о повышении награды за уязвимости в Android по сравнению с iOS. Компания готова заплатить 2,5 млн долларов США за устойчивую уязвимость нулевого дня в Android, не требующую взаимодействия с пользователем (zero-click vulnerability). Это значительно выше предыдущей максимальной выплаты в размере 2 млн долларов США за удаленные джейлбрейки iOS. При этом Zerodium снизила выплаты за эксплойты одного клика (one-click exploit) на устройствах Apple. В тот же день неизвестный обнаружил опасную уязвимость нулевого дня в медиадрайвере Android — v412 (Video4Linux), — с помощью которой можно повысить пользовательские привилегии. Она не была устранена в сентябрьском обновлении безопасности Google. Несколько дней спустя в Android нашли еще одну уязвимость, из-за которой более миллиарда смартфонов Samsung, Huawei, LG и Sony могли подвергнуться атаке, позволявшей злоумышленникам получить полный доступ к электронной почте на скомпрометированном устройстве с помощью SMS-сообщения. Очевидно, что эксплойты для Android и iOS являются очень ценным товаром, вне зависимости от их сравнительной стоимости.
Известные киберпреступники продолжают совершенствовать свой инструментарий
Во время расследования вредоносной активности в Центральной Азии мы обнаружили новый бэкдор Tunnus, который, по нашему предположению, создан группировкой Turla. Этот .NET-зловред способен выполнять команды и действия с файлами в зараженной системе и отправлять результаты командному серверу. На текущий момент командная инфраструктура группировки базируется на уязвимых ресурсах WordPress.
В этом году Turla также внедрила свой знаменитый зловред KopiLuwak на основе JavaScript в дроппер Topinambour — новый файл .NET, с помощью которого киберпреступники могут распространять KopiLuwak через зараженные установочные пакеты легитимного ПО, такого как VPN-приложения. Вредоносная программа является практически полностью «бесфайловой»: на последнем этапе заражения зашифрованный троянец, обеспечивающий удаленное управление, внедряется в реестр системы, чтобы зловред мог в любой момент получать к ней доступ. Группа также использует два аналога KopiLuwak (троянец RocketMan на базе .NET и троянец MiamiBeach на базе PowerShell) в целях кибершпионажа. Мы полагаем, что Turla прибегает к ним в случаях, когда жертвы используют защитные решения, способные обнаруживать KopiLuwak.
Мы зафиксировали целевую кампанию, связанную с COMpfun, на основе нового зловреда. Автоматизированная система атрибуции «Лаборатории Касперского» (Kaspersky Attribution Engine) выявила сходство между новым семейством и обнаруженным ранее COMpfun. Более того, в одном из механизмов распространения атаковавшие использовали оригинальное вредоносное ПО COMpfun в качестве загрузчика. Мы назвали новые обнаруженные модули Reductor, опираясь на путь к файлу .pdb, сохранившийся в некоторых образцах. Мы полагаем, что их разработали те же авторы COMPfun, которых мы предварительно ассоциируем с Turla, исходя из виктимологии. Отдельно отметим, что создатели Reductor приложили немало усилий, чтобы изменять установленные цифровые корневые сертификаты и маркировать исходящий TLS-трафик уникальными идентификаторами хоста. Вредоносная программа добавляет встроенные корневые сертификаты на целевой хост, оставляя операторам возможность удаленно добавлять дополнительные сертификаты через именованный канал. При этом сетевые пакеты остаются нетронутыми. Вместо этого авторы проанализировали исходный код Firefox и бинарный код Chrome и пропатчили соответствующие системные функции генератора псевдослучайных чисел (PRNG) в памяти процесса. С помощью PRNG браузеры генерируют последовательность «client random» в начале хендшейка TLS. Reductor добавляет уникальные зашифрованные идентификаторы оборудования и ПО жертвы в поле «client random».
Zebrocy продолжает пополнять свой арсенал новыми инструментами, используя самые разные языки программирования. Мы обнаружили, что группировка смогла внедрить скомпилированный скрипт Python, названный нами PythocyDbg, в ведомство иностранных дел одной из стран Юго-Восточной Азии. Основная функция PythocyDbg — незаметный сбор данных об отладочных возможностях прокси-серверов и каналов коммуникаций. В начале 2019 года Zebrocy перешла к разработке на Nimrod/Nim. Это язык программирования с синтаксисом, напоминающим Pascal и Python, который компилируется в код JavaScript или C. Загрузчики, которые группировка разрабатывает преимущественно для целевого фишинга, и бэкдоры на базе Nim распространяются наряду с обновленными скомпилированными скриптами AutoIT, Go и модулями Delphi. В сентябре Zebrocy осуществила целевую фишинговую кампанию против стран НАТО и партнеров альянса по всей Европе, пытаясь получить доступ к электронной почте, учетным данным и конфиденциальным документам. Эта кампания напомнила более раннюю активность группировки. В ней был задействован специальный, ориентированный на конкретных жертв контент в электронных письмах, а также ZIP-вложения, содержащие безопасные документы вперемешку с исполняемыми файлами с видоизмененными значками и идентичными именами. Также Zebrocy использовала удаленные шаблоны Word для извлечения содержимого из легитимного файлообменника Dropbox. В рамках этой кампании киберпреступники атаковали дипломатические и оборонные учреждения в Европе и Азии, использовав свой бэкдор на языке Go и различные вариации на базе Nimsy.
В июне мы столкнулись с необычной подборкой образцов, использованных для атаки дипломатических, правительственных и военных учреждений в Южной и Юго-Восточной Азии. Мы связываем их с Platinum — одной из самых технологически продвинутых APT-группировок. Злоумышленники воспользовались новой, тщательно продуманной стеганографической технологией для сокрытия своих коммуникаций. Пару лет назад мы уже высказывали предположение, что разработчики APT-угроз и вредоносного ПО будут активнее использовать стеганографию, и эта кампания подтвердила наши прогнозы. Любопытно, что атакующие реализовали все необходимые утилиты в виде одного большого набора — это пример архитектуры на основе фреймворка, которая набирает популярность. Позже в этом году мы обнаружили, что Platinum использует новый бэкдор, который мы назвали Titanium, в своей новой кампании. При этом мы нашли определенное сходство между этим зловредом и инструментарием под названием ProjectC. Впервые мы обнаружили ProjectC в 2016 году — он использовался для горизонтальных перемещений в целевой инфраструктуре, и мы не очень уверенно ассоциировали его с группировкой CloudComputating. Наши новые находки позволяют предположить, что активность, приписываемая CloudComputating, на самом деле связана с группировкой Platinum и ProjectC был одним из инструментов последней.
В своем отчете об Operation AppleJeus за 2018 год мы писали, что группировка Lazarus начала атаковать macOS. С тех пор Lazarus значительно расширила свою деятельность на этой платформе. В этом году мы обнаружили новую операцию группировки, которая была активна как минимум в течение года: с помощью PowerShell осуществлялся контроль Windows-систем, а для атаки пользователей Apple использовались вредоносные программы для macOS. Также Lazarus атаковала южнокорейскую компанию, специализирующуюся на мобильных играх. По нашим предположениям, целью злоумышленников было похищение исходного кода приложений. Очевидно, что Lazarus по-прежнему очень оперативно обновляет свой инструментарий.
В третьем квартале мы обнаружили новую активность со стороны BlueNoroff, подразделения Lazarus. Мы идентифицировали банк в Мьянме, ставший жертвой этой киберпреступной группировки, и связались с ним, чтобы передать найденные нами индикаторы компрометации. В свою очередь банк передал нам ценную информацию о том, как атаковавшие с помощью горизонтальных перемещений пытались заполучить доступ к важным хостам, например принадлежавшим системным инженерам банка, которые взаимодействовали с системой SWIFT. Для горизонтального перемещения злоумышленники использовали общедоступную базу скомпрометированных учетных данных и скрипты PowerShell собственной разработки. Также BlueNoroff использует новое вредоносное ПО с необычной структурой, которая усложняет анализ. В зависимости от параметров командной строки программа может функционировать как пассивный бэкдор, активный бэкдор или инструмент туннелирования. Вероятно, группировка выбирает режим, ориентируясь на ситуацию. Кроме того, мы обнаружили еще один тип скрипта PowerShell, который злоумышленники из BlueNoroff использовали для атаки на территории Турции. Этот скрипт обладает схожей функциональностью по сравнению с использованными ранее, но группировка продолжает постоянно модифицировать его во избежание обнаружения.
Andariel, еще одно подразделение Lazarus, традиционно занималось геополитическим шпионажем и финансовой разведкой в Южной Корее. Группировка снова попыталась создать командную инфраструктуру, нацеленную на уязвимые серверы Weblogic, — в данном случае использовался эксплойт CVE-2017-10271. После успешного проникновения атаковавшие внедрили вредоносную программу, подписанную легитимной подписью южнокорейского поставщика защитных решений, — бэкдор совершенно нового типа, который получил название ApolloZeus. Он задействует достаточно объемный шелл-код со сложными конфигурационными данными, что затрудняет анализ. Кроме того, в нем реализован ряд возможностей, позволяющих незаметно выполнить требуемую полезную нагрузку. Обнаружив зловреда, мы смогли найти некоторые связанные с ним образцы, а также документы, использованные киберпреступниками для его распространения. Так мы сформировали более полную картину атаки.
В октябре мы сообщили еще об одной кампании. Мы нашли образец, в котором в качестве приманок использовались интересные документы и изображения, содержавшие контактную информацию граждан Северной Кореи, проживавших за рубежом. Также почти все они включали данные, так или иначе связанные с днем независимости Кореи и днем провозглашения КНДР. А некоторые имели отношение к дипломатическим вопросам и деловым связям. Опираясь на эту информацию и дополнительные данные телеметрии, мы предполагаем, что кампания направлена против целей, в той или иной степени связанных с Северной Кореей. В их числе бизнесмены, дипломатические структуры и правоохранительные организации. Злоумышленники использовали высокоуровневый целевой фишинг и многоэтапное заражение для внедрения модифицированной вредоносной программы Ghost RAT, позволяющей полностью контролировать зараженную систему. Мы считаем, что организаторы кампании, которая идет уже более трех лет, владеют корейским языком и, вероятно, за ней стоит APT-группировка DarkHotel.
Lambert — это семейство инструментов для организации сложных атак, входящее в арсенал одной или нескольких APT-группировок. Оно включает сетевые бэкдоры, несколько поколений модульных бэкдоров, средства сбора информации и стиратели, предназначенные для проведения разрушительных атак. Мы создали цветовую схему, помогающую различать инструменты и импланты, используемые против самых разных жертв по всему миру. Подробнее инструментарий Lambert описан в нашем отчете «Unraveling the Lamberts Toolkit», доступном клиентам с подпиской на аналитические отчеты об APT-угрозах. В этом году палитра Lambert пополнилась несколькими новыми цветами. Silver Lambert, «наследник» Gray Lambert, является полноценным бэкдором. В нем частично реализованы концепции NOBUS и OPSEC, в частности защита от sinkhole-атак на командный сервер с помощью проверки хеша SSL-сертификата сервера, самостоятельное удаление из систем, к которым невозможно получить доступ с командного сервера, и низкоуровневое безвозвратное удаление файлов. Мы обнаружили жертвы Silver Lambert в авиационной сфере в Китае. Violet Lambert, модульный бэкдор, который, судя по всему, был разработан и внедрен в 2018 году, предназначен для работы в различных версиях Windows, включая Windows XP, Vista и более поздние версии ОС. Мы наблюдали случаи заражения Violet Lambert на Ближнем Востоке. Также мы нашли другие новые импланты Lambert на компьютерах критически важного инфраструктурного объекта на Ближнем Востоке. Первые два получили название Cyan Lambert (включая версии Light и Pro). Третий имплант, который мы назвали Magenta Lambert, повторно использует участки старого кода Lambert. В частности, мы обнаружили сходство с Green, Black и White Lambert. Зловред прослушивает сеть в ожидании «магического» пакета ping, после чего выполняет тщательно скрытую полезную нагрузку, которую нам не удалось расшифровать. Вскоре после нашего открытия все зараженные компьютеры перешли в режим офлайн.
Ранее в этом году мы наблюдали кампанию группировки LuckyMouse, которая проводила атаки на вьетнамские правительственные учреждения и дипломатические организации за пределами страны как минимум с апреля 2018 года. Мы полагаем, что эта активность, получившая название SpoiledLegacy, является логическим продолжением кампании IronTiger, поскольку основана на схожих инструментах и приемах. Организаторы SpoiledLegacy используют платформы тестирования на проникновение, такие как Cobalt Strike и Metasploit. Основным вектором заражения мы считаем эксплуатацию уязвимостей сетевых служб. Однако мы также обнаружили исполняемые файлы, предназначенные для использования в целевых фишинговых письмах, содержащих документы-приманки. Разнообразие методов говорит о гибком подходе группировки. Помимо платформ тестирования на проникновение, злоумышленники используют загрузчик NetBot и инструмент SOCKS-туннелирования Earthworm. Кроме того, они включают в свое вредоносное ПО исходный код прокси HTran TCP для перенаправления трафика. Некоторые данные конфигурации NetBot содержат IP-адреса в локальной сети, а значит, зловред загружает следующий этап атаки с другого зараженного хоста в LAN. Данные телеметрии указывают на то, что серверы внутренних баз данных — одна из целей LuckyMouse, как и в случае предыдущей кампании этой группировки в Монголии. На последнем этапе атакующие используют различные 32- и 64-разрядные троянцы, внедряемые в память системных процессов. Любопытно, что все инструменты, задействованные в цепочке заражения, динамически маскируют вызовы Win32 API при помощи утекшего в Сеть кода HackingTeam. С начала 2019 года мы наблюдали всплеск активности LuckyMouse как в Центральной Азии, так и на Ближнем Востоке. Эти новые атаки, судя по всему, преимущественно нацелены на телекоммуникационные компании, университеты и правительственные учреждения. Основные векторы заражения — прямая компрометация, целевой фишинг и, возможно, атаки типа watering hole. Несмотря на то что в прошлом году тактика и методы злоумышленников неоднократно рассматривались в открытых источниках, LuckyMouse не стала ничего в них менять. Для проникновения в сеть жертвы группировка по-прежнему использует собственный инструментарий. Так, в новых кампаниях на первом этапе атаки задействуется HTTPBrowser, а на втором внедряется троянец Soldier. Группировка модифицировала свою инфраструктуру. Похоже, для командных серверов вместо доменных имен киберпреступники используют только адреса IPv4 — мы считаем, это сделано для ограничения корреляции.
APT-группировка HoneyMyte ведет активную деятельность уже несколько лет. В последние два года она использовала различные техники для проведения атак на правительственные организации в Мьянме, Монголии, Эфиопии, Вьетнаме и Бангладеш, а также на иностранные посольства в Пакистане, Южной Корее, США, Великобритании, Бельгии, Непале, Австралии и Сингапуре. Так, в этом году киберпреступники атаковали правительственные организации в Мьянме, связанные с использованием природных ресурсов, а также крупную организацию в континентальной Африке. Следовательно, одной из основных задач HoneyMyte является сбор геополитической и экономической информации. Также группировка атаковала военную организацию в Бангладеш. А ее отдельные цели, не имеющие отношения к учреждениям, вероятно, были связаны с геополитической активностью в регионе.
Группировка Icefog, за которой мы наблюдаем с 2011 года, регулярно атаковала правительственные учреждения, военных подрядчиков, морские организации, кораблестроительные предприятия, телекоммуникационных и спутниковых операторов, промышленные и высокотехнологичные компании, а также средства массовой информации преимущественно на территории Кореи, Японии и Центральной Азии. После публикации нашего первого отчета об Icefog в 2013 году масштабы ее деятельности сократились — мы наблюдали небольшое количество активных заражений. В 2016 году наметился незначительный рост, а с начала 2018 года Icefog перешла к крупным волнам атак против правительственных учреждений и военных подрядчиков в Центральной Азии, имеющих стратегически важное значение для китайского проекта «Один пояс и один путь». Так, в последней волне заражение началось с целевого фишинга: в электронном письме содержался вредоносный документ, который эксплуатировал известную уязвимость и размещал вредоносное ПО в целевой системе. В период с 2018 года по начало 2019 года конечной полезной нагрузкой был типичный бэкдор Icefog. Начиная с мая 2019 года группировка перешла на Poison Ivy в качестве своего основного бэкдора. Полезная нагрузка Poison Ivy сбрасывается в виде вредоносной DLL и загружается с помощью подписанной легитимной программы. Для этого, как и в предыдущих кампаниях Icefog, используется технология перехвата порядка загрузки, к которой часто прибегают киберпреступники. В ходе расследования мы также обнаружили артефакты, задействованные в горизонтальных перемещениях. Мы наблюдали использование таких инструментов, как общедоступный сканер TCP, загруженный с Github, вариация Mimikatz для извлечения учетных данных из системной памяти, доработанный кейлоггер для кражи конфиденциальной информации и новая версия очередного бэкдора под названием Quarian. Бэкдор Quarian использовался для создания туннелей в инфраструктуре жертвы для предотвращения обнаружения в сети. Возможности Quarian включают манипулирование удаленной файловой системой, получение информации о жертве, похищение сохраненных паролей, загрузку и выгрузку произвольных файлов, создание туннелей с использованием переадресации портов, выполнение произвольных команд и запуск обратной оболочки.
Эволюция «новичков»
О ShaggyPanther, группировке, занимавшейся вторжениями и распространением вредоносного ПО на территории Тайваня и Малайзии, мы впервые упомянули в своем закрытом отчете в январе 2018 года. Однако аналогичная активность наблюдалась уже более 10 лет, а временные метки компиляции схожего кода датируются 2004 годом. С тех пор ShaggyPanther расширила свою деятельность: в июле ее активность была зафиксирована в Индонезии, а в марте — в Сирии, что было весьма неожиданно. Код новых бэкдоров 2018 и 2019 годов имеет дополнительный уровень маскировки и больше не содержит командных строк в открытом виде. Со времени публикации нашего первого отчета мы выяснили, что ShaggyPanther использовала первичный вектор заражения на стороне сервера, применив SinoChoper/ChinaChopper — веб-шелл, популярный среди китайских киберпреступных группировок. SinoChopper осуществляет не только идентификацию хоста и доставку бэкдора, но также позволяет похищать архивы электронной почты и выполнять ряд других действий. Не во всех случаях можно отследить источник заражения на стороне сервера. Тем не менее мы наблюдали несколько подобных инцидентов и получили информацию об этапах процесса установки. В 2019 году ShaggyPanther проводила атаки на серверы Windows.
В апреле мы опубликовали отчет о TajMahal, ранее неизвестном APT-фреймворке, проявлявшем активность на протяжении пяти последних лет. Это технически сложный шпионский фреймворк, включающий бэкдоры, загрузчики, средства для коммуникации с командным сервером, модули записи звука, кейлоггеры, средства захвата изображения экрана и веб-камеры, инструменты для кражи документов и криптографических ключей и даже собственный индексатор файлов компьютера жертвы. Мы обнаружили около 80 вредоносных модулей, хранящихся в специальной зашифрованной виртуальной файловой системе (VFS), — почти рекордное число плагинов в наборе инструментов для проведения APT-атак. Вредоносное ПО имеет собственный индексатор, поддерживает аварийные командные серверы, может похищать конкретные файлы с внешних накопителей при их подключении, и это далеко не полный перечень его возможностей. Злоумышленники используют два разных пакета инструментов, названные ими Tokyo и Yokohama. На обнаруженных нами атакованных компьютерах присутствовали оба. Мы полагаем, что Tokyo используется на первом этапе заражения и остается в системе в качестве «резерва», а Yokohama вторым этапом разворачивает на компьютере полезную нагрузку. Наш телеметрический анализ позволил вычислить только одну жертву — дипломатическую организацию в Центральной Азии. Возникает вопрос: зачем столько усилий, если жертва всего одна? Вероятно, есть и другие, просто мы пока о них не знаем. В пользу этого предположения говорит тот факт, что ни один из файлов в VFS не был использован вредоносной программой, а значит, могут быть и другие версии, которые только предстоит обнаружить.
В феврале наши системы автоматической защиты от эксплойтов выявили попытку эксплуатации уязвимости в Windows. За последние несколько месяцев это была четвертая подряд попытка использования уязвимости в Windows для эскалации локальных привилегий. В ходе дальнейшего анализа мы обнаружили уязвимость нулевого дня в win32k.sys (CVE-2019-0797). 12 марта Microsoft исправила ее и поблагодарила исследователей «Лаборатории Касперского» Василия Бердникова и Бориса Ларина. Мы полагаем, что уязвимость использовали несколько киберпреступных группировок, включая FruityArmor и SandCat. FruityArmor и раньше эксплуатировала уязвимости нулевого дня; SandCat же является новой APT-группировкой, о которой мы узнали сравнительно недавно. Интересно, что FrutiyArmor и SandCat, похоже, шли параллельными путями, одновременно используя одни и те же эксплойты. Это наталкивает на мысль о существовании некой третьей стороны, предоставлявшей артефакты обеим группировкам.
В феврале 2019 года мы обнаружили очень специфичную целевую атаку на юге России. В ней было задействовано ранее неизвестное вредоносное ПО, которое мы назвали Cloudmid. Эта шпионская программа распространялась по электронной почте, маскируясь под VPN-клиент известного российского поставщика защитных решений, который среди прочего предлагает решения для защиты сети. Пока что мы не смогли связать эту атаку ни с одной из известных киберпреступных группировок. Сама вредоносная программа достаточно проста и предназначена для кражи документов. Однако, учитывая виктимологию и целенаправленный характер атаки, мы установили за ней пристальное наблюдение — даже несмотря на то, что не знаем, кто за ней стоит. Примитивность зловреда и низкий уровень безопасности операций (OPSEC) указывают на то, что здесь вряд ли замешана какая-то из продвинутых группировок.
В феврале мы обнаружили кампанию в Индии, нацеленную против военных организаций. Мы не смогли выяснить, кто именно ее организовал. Для заражения злоумышленники использовали целевой фишинг и атаку типа watering hole. В частности, им удалось скомпрометировать веб-сайт Центра исследований сухопутных войн (Centre for Land Warfare Studies, CLAWS) и использовать его для хостинга вредоносного документа, с помощью которого распространялась одна из версий RAT-троянца Netwire. Мы также нашли свидетельства компрометации организации соцобеспечения военнослужащих, распространявшей то же самое вредоносное ПО в это время.
В третьем квартале мы обнаружили кампанию, задействовавшую вредоносную программу DADJOKE (по классификации FireEye). Впервые она была использована в реальных условиях в январе 2019 года и с тех пор непрерывно дорабатывалась. В дальнейшем мы наблюдали ее в немногочисленных активных кампаниях, нацеленных на правительственные, военные и дипломатические организации в Юго-Восточной Азии. Самая недавняя из них состоялась в августе и, судя по всему, затронула ограниченный круг лиц, работавших в военной организации.
Конфиденциальность
17 января исследователь безопасности Трой Хант (Troy Hunt) сообщил об утечке более 773 млн электронных адресов и 21 млн уникальных паролей. Эти данные, получившие название Collection #1, были выложены в открытый доступ в популярной облачной службе MEGA. Collection #1 — лишь небольшая часть крупной утечки, содержавшей около 1 ТБ сведений. Они были поделены на семь частей и распространялись через форум обмена данными. Полная база содержит скомпрометированные учетные данные из различных источников. По нашей информации, самые недавние из них датируются 2017 годом. Как мы уже упомянули, Collection #1 была частью крупной утечки данных более чем 2,2 млрд скомпрометированных учетных записей. Новая база, получившая название Collection #2-5, была обнаружена исследователями из Института им. Хассо Платтнера в Потсдаме.
В феврале произошли очередные утечки. Подробная информация о 617 млн учетных записей, похищенных у 16 скомпрометированных компаний, была выставлена на продажу на площадке Dream Market, доступ к которой осуществлялся через сеть Tor. В числе жертв оказались Dubsmash, MyFitnessPal, Armor Games и CoffeeMeetsBagel. Вскоре на той же площадке были размещены данные еще восьми организаций. А в марте хакер, ответственный за предыдущие утечки, опубликовал сведения еще шести компаний.
Похищенные учетные данные вкупе с другой информацией, которую можно извлечь из баз, представляют ценность не только для киберпреступников, но и для тех, кто контролирует деятельность диссидентов и общественных активистов.
Мы привыкли к непрерывному потоку новостей об утечках электронных адресов и паролей. Кража учетных данных, необходимых для традиционной аутентификации, безусловно, удручает. Но в случае альтернативных способов проверки подлинности она может иметь еще более печальные последствия. В августе двое израильских исследователей обнаружили в общедоступной базе отпечатки пальцев, данные распознавания лица и другую конфиденциальную информацию из биометрической системы контроля доступа Suprema Biostar 2. Обнародование биометрических данных — серьезная проблема. Скомпрометированный пароль можно поменять, а вот биометрические характеристики не меняются в течение всей жизни.
Более того, растущая популярность умных устройств в самых разных сферах жизни влечет за собой генерацию больших объемов данных, которые могут стать целью злоумышленников. Только представьте: смарт-колонки могут сделать ваши личные беседы всеобщим достоянием. А соцсети располагают постоянно растущими объемами персональной информации, которая представляет большую ценность как для отдельных преступников, так и для APT-группировок.
Резюме
Мы будем продолжать отслеживать APT-активность и регулярно публиковать наиболее интересную информацию. Если вы хотите узнать больше, свяжитесь с нами по адресу intelreports@kasperksy.com.
Обзор APT-угроз: тенденции киберпреступности в 2019 году