Категория > Новости > APT из Поднебесной. Китайские хакерские группы и техники их целенаправленных атак - «Новости»

APT из Поднебесной. Китайские хакерские группы и техники их целенаправленных атак - «Новости»


10-08-2018, 06:00. Автор:
");
}else{
$('#mpu1-desktop').remove();
console.log('mpu1-desktop removed');
}
});

Содержание статьи

  • APT3 (UPS Team)
  • Операция «Подпольный волк»
  • Выводы
Следы большинства таргетированных атак в последние годы приводят в азиатский регион, где ярким пятном выделяются шанхайские серверы. В ходе расследований аналитики отмечают такие маркеры, как китайские IP-адреса, временные штампы, языковые настройки и софт, специфичные для Китая. Кто же устраивает кибератаки из-за «Великого китайского файрвола»?

Расследование масштабных целенаправленных атак порой занимает годы, поэтому подробности их проведения становятся известны далеко не сразу. Обычно к моменту их публикации все использованные уязвимости закрыты патчами, вредоносные компоненты добавлены в антивирусные базы, а C&C-серверы заблокированы. Однако в таких отчетах интересны методы, которые с небольшими изменениями продолжают использовать в новых атаках.


APT1 (aka Comment Crew)


Эта хакерская группа получила идентификатор за номером один и во многом способствовала популяризации термина Advanced Persistent Threat. Она установила своеобразный рекорд по количеству данных, украденных у одной организации: за десять месяцев APT1 выкачала 6,5 Тбайт документов со взломанных серверов.


Есть много свидетельств тому, что APT1 создана Минобороны КНР на базе подразделения 61398 Народно-освободительной армии Китая (НОАК). По мнению специалистов FireEye, она действует с 2006 года как отдельная структура Третьего управления Генштаба НОАК. За это время APT1 выполнила как минимум 141 таргетированную атаку. Назвать точное число сложно, поскольку часть инцидентов в сфере информационной безопасности замалчивается, а для известных атак не всегда удается доказать их принадлежность конкретной группе.



Активность APT1 по регионам, изображение: fireeye.com

В соответствии с доктриной политического руководства страны «побеждать в информационных войнах» APT1 была реформирована и усилена в 2016 году.









Начало строительства новой базы APT1 в 2013 году, фото: DigitalGlobe

Сейчас она насчитывает в своем штате несколько тысяч людей. В основном состоит из выпускников Чжэцзянского университета и Харбинского политехнического университета с хорошим знанием английского.


Географически штаб-квартира APT1 располагается в Пудуне (новый район Шанхая), где она владеет большим комплексом зданий. Входы в них охраняются, а на всем периметре действует контрольно-пропускной режим, как на военной базе.



КПП на базе APT1, фото: city8.com

Чтобы ускорить активную фазу атаки и замести следы, APT1 использовала «аэродромы подскока» — зараженные компьютеры, управляемые через RDP, и FTP-серверы, на которых размещалась боевая нагрузка. Все они географически располагались в том же регионе, где находились цели.


За двухлетний период наблюдений специалисты FireEye обнаружили 1905 случаев использования таких промежуточных узлов с 832 разных IP-адресов, причем 817 из них вели в шанхайские сети China Unicom и China Telecom, а регистрационные записи Whois прямо указывали на Пудун, где, кроме штаб-квартиры APT1, нет организаций сравнимого масштаба.


Управляли этими промежуточными узлами обычно при помощи прокси HTRAN (HUC Packet Transmit Tool) с 937 разных серверов, контролируемых APT1.


В своих атаках APT1 использовала 42 бэкдора из разных семейств. Часть из них была написана давно, распространялась в даркнете или модифицировалась на заказ (Poison Ivy, Gh0st RAT и другие), но среди этого набора выделяется Backdoor.Wualess и его более поздние модификации. Похоже, это собственная разработка APT1.


Как и в других таргетированных атаках, в сценариях APT1 боевая нагрузка доставлялась на компьютеры жертв методами социального инжиниринга (в частности, spear phishing). Основная функциональность бэкдора Wualess содержалась в библиотеке wuauclt.dll, которую троян-дроппер из зараженного письма помещал на целевых компьютерах под управлением Windows в системный каталог (%SYSTEMROOT%wuauclt.dll).


Затем бэкдор выполнял проверку на предшествующее заражение и при необходимости прописывал себя в реестре как сервис:


HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauserv "Start" = "2"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauservParameters "ServiceDll" = "%SystemRoot%wuauclt.dll"

Далее бэкдор соединялся с одним из управляющих серверов через IRC:


  • NameLess.3322.org, TCP-порт 5202;

  • sb.hugesoft.org, TCP-порт 443.

Последний порт по умолчанию используется браузерами для соединения по HTTPS, поэтому обычно он не блокируется файрволами.


Получив команду, бэкдор выполнял одно из следующих действий:


  • проверял скорость подключения;

  • собирал и отправлял данные о системе и пользователях;

  • делал скриншот и отсылал его;

  • очищал DNS-кеш и подменял записи в нем;

  • скачивал и запускал на выполнение очередной зловред;

  • завершал указанные процессы в памяти;

  • искал и отправлял файлы, соответствующие указанным критериям (в основном документы офисных форматов и архивы);

  • обновлял свою версию;

  • сохранял свою копию в точке восстановления (System Volume Information)

Последняя особенность затрудняла полное удаление бэкдора, поскольку ОС обычно блокировала доступ к каталогу System Volume Information.


Источник новостиgoogle.com
Перейти обратно к новости