Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Przegląd ataków APT w 2018 roku

Tagi:

Co ciekawego zdarzyło się w zakresie ataków APT w 2018 roku i jakie lekcje możemy z tego czerpać?

Udzielenie odpowiedzi na to pytanie nie jest łatwe; każdy widzi tylko część „obrazu”, nie da się też w pełni zrozumieć motywów czy innowacji związanych z niektórymi atakami. Jednak spoglądając na zdarzenia z perspektywy czasu, spróbujmy podejść do problemu od innej strony, aby lepiej zrozumieć, co się wydarzyło. 

Znaczący gracze

Istnieje kilka „tradycyjnych” graczy, doskonale znanych społeczności związanej z bezpieczeństwem, na których przez ostatnie kilka lat polują wszyscy. W 2018 roku wszystko pozostawało po staremu w przypadku tych graczy, a jeżeli można mówić o jakichś zmianach – to było może nieco spokojniej niż zwykle.    

W rzeczywistości doktryny i sposób działania tych grup określają ich sposób reagowania w przypadku ujawnienia ich operacji. Niektórzy gracze po prostu wycofają się z kampanii i rozpoczną proces usuwania śladów, podczas gdy inni będą kontynuować operacje. Dlatego niektóre z takich ugrupowań często pracują jednocześnie nad kilkoma grupami aktywności. W ten sposób mogą oddzielać od siebie operacje, a jeśli zostaną wykryte, udoskonalają swój zestaw narzędzi, aby nie dać się złapać kolejnym razem.   

Do tej drugiej kategorii tradycyjnie zaliczamy wiele rosyjskojęzycznych cyberugrupowań. Chcielibyśmy poświęcić nieco miejsca na przybliżenie aktywności trzech z nich: Sofacy, Turla oraz CozyBear. 

Największą aktywnością z całej trójki wykazało prawdopodobnie Sofacy. Identyfikowane przez cały rok w różnych operacjach, ugrupowanie to aktualizowało zestaw stosowanych przez siebie narzędzi. Władze przypisywały mu również kilka wcześniejszych operacji. Sofacy wykorzystywał szkodnika Gamefish oraz uaktualnioną wersję swojej platformy DealersChoice, uderzając w ambasady i agencje Unii Europejskiej. Jednym z najgłośniejszych incydentów z udziałem tego ugrupowania było wykorzystanie pakietu Computrace LoJack w celu umieszczenia szkodliwego oprogramowania na maszynach ofiar.

Jednym z narzędzi tradycyjnie stosowanych przez omawiane ugrupowanie jest Zebrocy. W rzeczywistości jednak wszystkie przypadki, w których wykorzystano to narzędzie, można uznać za osobną odnogę aktywności. Zaobserwowaliśmy tu różne udoskonalenia, w tym nowy niestandardowy moduł zbierający/downloader, nowy VBA implementujący techniki ochrony przed piaskownicowaniem (sandboxing) oraz nowe moduły .NET.

W ciągu roku stało się jasne, że Sofacy przechodzi zmiany na poziomie strukturalnym i prawdopodobnie rozpada się na różne podgrupy. Z analizy OlympicDestroyer dowiedzieliśmy się, że ta wysoce wyrafinowana operacja pod fałszywą banderą była w pewnym stopniu powiązana z ugrupowaniem Sofacy. Jednak obserwując dalszą aktywność OlympicDestroyer w Europie i na Ukrainie, stwierdziliśmy, że mamy do czynienia z osobną jednostką, którą określiliśmy jako Hades.

Szczególnie interesujące było wykrycie przez nas dodatkowych wspólnych elementów pomiędzy GreyEnergy i Zebrocy, obejmujących wykorzystywanie tej samej infrastruktury oraz tego samego exploita dnia zerowego dla systemu kontroli przemysłowej.      

Wszystko to zdaje się łączyć nowe ugrupowanie Hades z odnogą aktywności Zebrocy, tradycyjnie przypisywaną Sofacy.

Jeśli chodzi o ugrupowanie Turla, nie zaobserwowaliśmy żadnych znaczących zmian strukturalnych na miarę tych opisanych wyżej, jednak ugrupowanie to wykorzystywało kilka interesujących implantów, takich jak LightNeuron, oraz nowego backdoora, który, według firmy ESET, zainfekował w 2017 r. Niemieckie Federalne Ministerstwo Spraw Zagranicznych oraz inne podmioty w Unii Europejskiej.

Odkryliśmy, że w ciągu roku ugrupowanie to wykorzystywało nowy wariant swojego szkodliwego oprogramowania Carbon w typowych dla siebie atakach na ambasady i instytucje spraw zagranicznych. Zaczęło również wykorzystywać nową platformę (której nadaliśmy nazwę Phoenix) i stosować narzędzia skryptowe oraz oparte na otwartym źródle podczas etapu lateral movement (dalszego rozprzestrzeniania infekcji w sieci wewnętrznej).      

181205-apt-review-of-the-year-1_auto.png

Ponadto w listopadzie 2018 r. wykryto potencjalną aktywność ugrupowania CozyDuke, której celem były prawdopodobnie organizacje dyplomatyczne i rządowe w Europie. Ponieważ ugrupowaniu temu nie przypisuje się tradycyjnie TTP, pojawiły się spekulacje dotyczące wykorzystania tego szkodnika przez inne ugrupowanie. Jednak fakty nadal zdają się potwierdzać, że wykorzystane szkodliwe oprogramowanie można przypisać CozyDuke. Nadal badamy tę nową kampanię przeprowadzoną przez ugrupowanie, które od miesięcy nie było aktywne.        

Warto również wspomnieć o Lazarus i aktywności BlueNoroff. Ugrupowanie to wykazywało stałą aktywność, której celem były różne regiony, takie jak Turcja, inne części Azji oraz Ameryka Łacińska, jak również różne branże umożliwiające zdobycie korzyści finansowych, takie jak kasyna, instytucje finansowe oraz kryptowaluty. W swoich nowszych kampaniach ugrupowanie to zaczęło rozprzestrzeniać nowe szkodliwe oprogramowanie, któremu nadaliśmy nazwę ThreatNeedle.

Fałszywe flagi

Od czasu do czasu wykrywamy tzw. fałszywe flagi, niekiedy implementowane w dość naiwny sposób. Jednak tego roku natknęliśmy się na coś, co można uznać (jak dotąd) za matkę wszystkich fałszywych flag (więcej szczegółów można znaleźć tutaj). Poza samymi danymi technicznymi warto również przyjrzeć się rzeczywistemu celowi tego ataku i zastanowić się, dlaczego te wyrafinowane fałszywe flagi zostały umieszczone w szkodliwym oprogramowaniu.    

Pierwszy wniosek, jaki się nasuwa, jest taki, że osoby atakujące doskonale orientują się już w technikach wykorzystywanych w branży bezpieczeństwa w celu atrybucji ataków i wykorzystały tę wiedzę, aby zmylić badaczy bezpieczeństwa. Można również pokusić się o twierdzenie, że główny cel ataku niekoniecznie jest związany z kradzieżą informacji czy zakłóceniem operacji – ważniejszym motywem mogło być naśladowanie osoby atakującej. 

Do gry powróciło kilka ugrupowań, które przez pewien czas pozostawały nieaktywne. Jednak wykorzystują one różne TTP, które niekoniecznie są lepsze. Przykładem może być CozyDuke oraz APT10. Można by spekulować, że ich tradycyjny zestaw narzędzi jest obecnie wykorzystywany przez różne grupy, być może wciąż powiązane z pierwotnymi operatorami. Celem może być utrudnienie atrybucji w przyszłości lub po prostu odwrócenie uwagi od rzeczywistych operacji.  

Incydent związany z OlympicDestroyer spowodował wykrycie nowej odnogi aktywności powiązanej zarówno z Sofacy jak i BlackEnergy, którą określiliśmy jako Hades. Czas pokaże, jak te bardziej wyrafinowane fałszywe flagi ewoluują w przyszłości i w jaki sposób będą wykorzystywane do osiągania mniej oczywistych celów.   

Zapomniani

W ciągu roku kilku starych „znajomych” wybudziło się z hibernacji z nowym zakresem aktywności. Mowa tu o kilku dobrze znanych ugrupowaniach, które z nieznanych powodów nie wykazywały ostatnio wzmożonej aktywności. Wygląda jednak na to, że teraz wróciły do gry. W niektórych przypadkach ich działanie przybiera inne, słabsze formy. Być może posiadają innych operatorów lub po prostu udają, że nie są w formie, prowadząc jednocześnie inne, równoległe operacje. W innych przypadkach powracają, pokazując na co je stać.     

Rozważania można podsumować wskazaniem regionów, które wykazały największą aktywność w ciągu roku. Pierwsze miejsce zajęła południowo-wschodnia Azja, drugie natomiast Bliski Wschód.  

W przypadku południowo-wschodniej Azji, można wskazać takie grupy jak Kimsuky, która na samym początku roku stworzyła całkowicie nowy zestaw narzędzi, czy aktywność, która mieści się w trudnej do atrybucji kategorii WinNTI. Z drugiej strony, można również wyróżnić takie grupy jak DarkHotel, LuckyMouse czy nawet APT10. 

Kampania OceanSalt została przypisana ugrupowaniu APT10, chociaż do końca nie wiadomo, jak silne jest to powiązanie. Wydaje się mało prawdopodobne, aby ugrupowanie to, po tym jak zostało publicznie zdemaskowane i przez wiele lat nie wykazywało żadnej aktywności, mogło powrócić do gdy i przeprowadzić kampanię, którą można mu przypisać. Na obecną chwilę trudno to ocenić.

Przez cały rok dużą aktywność wykazywało drugie z wymienionych chińskojęzycznych ugrupowań - LuckyMouse. Przeprowadziło ono atak hakerski na krajowe centra danych w celu zorganizowania tzw. ataków przy wodopoju (watering-hole) na znane cele w środkowej Azji, wykorzystało sterownik podpisany przez chińskiego twórcę oprogramowania bezpieczeństwa, a nawet podejrzewa się, że stało za atakami na Oman niedługo po podpisaniu porozumienia wojskowego z Indiami.     

Scarcruft wykorzystał nowego backdoora, któremu nadaliśmy nazwę PoorWeb, zaimplementował exploita dnia zerowego w swojej kampanii na początku roku i wykorzystał szkodliwe oprogramowanie dla Androida specjalnie zaprojektowane na urządzenia firmy Samsung. DarkHotel powrócił wraz z exploitem dnia zerowego i nową aktywnością, atakując swoje tradycyjne ofiary. Zdołaliśmy ustalić związek – ze średnim stopniem pewności – pomiędzy DarkHotel a opisywaną przez innych producentów ochrony odnogą aktywności Konni/Nokki.    

APT10 był szczególnie aktywny w zakresie ataków na cele w Japonii, wykorzystując nowe iteracje swojego szkodliwego oprogramowania. Podobnie było w przypadku OceanLotus, który aktywnie stosował ataki przy wodopoju na znane cele w Azji Południowej. 

Na Bliskim Wschodzie zaobserwowaliśmy powrót takich ugrupowań jak Prince of Persia oraz OilRig. Wykryliśmy również nową aktywność MuddyWaters, jak również GazaTeam, DesertFalcons oraz StrongPity, które odpowiadały za różne kampanie w regionie.

Nowicjusze

Jednocześnie w ciągu roku pojawiło się wiele nowych odnóg aktywności, które również koncentrowały się na Bliskim Wschodzie i południowo-wschodniej Azji.

Za aktywność tą odpowiadały azjatyckie ugrupowania, takie jak ShaggyPanther, Sidewinder, CardinalLizard, TropicTrooper, DroppingElephant, Rancor, Tick group, NineBlog, Flyfox oraz CactusPete – wszystkie z nich były aktywne w regionie przez cały rok. Z reguły ugrupowania te nie są szczególnie zaawansowane technicznie, wykorzystując szereg różnych metod do osiągnięcia swoich zamiarów. Zwykle są zainteresowane celami regionalnymi, uderzając głównie w podmioty rządowe i wojskowe.  

181205-apt-review-of-the-year-2_auto.png

Na Bliskim Wschodzie zidentyfikowaliśmy między innymi aktywność LazyMerkaats, FruityArmor, OpParliament, DarkHydrus oraz DomesticKitten. Aktywność grupy Gorgon stanowi wyjątek, ponieważ jej celem są również ofiary spoza regionu.   

Na koniec trzeba również wspomnieć o wykryciu nowych odnóg aktywności, które świadczą o zainteresowaniu państwami Europy wschodniej oraz byłymi republikami radzieckimi. Mowa tu o DustSquad, ParkingBear oraz Gallmaker. Ta ostatnia wydaje się być zainteresowana zagranicznymi ambasadami jak również celami związanymi z wojskiem i obroną na Bliskim Wschodzie.    

Grube ryby

Nawet jeśli niektóre spośród opisanych wcześniej aktywności nie wydają się szczególnie zaawansowane technicznie, nie oznacza to, że nie są skuteczne. Patrząc wstecz, możemy wskazać kilka powszechnie znanych przypadków, kiedy wygląda na to, że ataki stanowią powrót do czasów, kiedy osoby atakujące polowały na główne strategiczne badania lub plany, które mogłyby zainteresować ugrupowania sponsorowane przez rządy, nie zaś jakieś losowe dane.

Można przytoczyć tu kilka przykładów. Ugrupowanie APT15 podejrzewano o ataki na firmę świadczącą usługi departamentom wojskowym oraz technologicznym rządu Wielkiej Brytanii. Intezer dostarczył dodatkowe informacje na temat aktywności tego ugrupowania, chociaż nie wiadomo, kim była ostateczna ofiara.  

TEMP.Periscope był podejrzewany o ataki hakerskie na organizacje morskie związane z Morzem Południowochińskim. Nie był to jedyny przypadek, gdy ta właśnie branża była celem ataków, ponieważ, jak się później okazało, nieznane ugrupowanie atakowało firmy związane z włoską branżą morską i obronną.

Ugrupowania takie jak Thrip były wyraźnie zainteresowane atakami na firmy z branży komunikacji satelitarnej oraz organizacje sektora obronnego w Stanach Zjednoczonych oraz południowo-wschodniej Azji.

Zaatakowano również amerykańską organizację wojskową US Naval Undersea Warfare Center. Według Washington Post, za atak ten, w wyniku którego skradziono 614GB danych i planów, odpowiadało ugrupowanie powiązane z Chińskim Ministerstwem Bezpieczeństwa Państwowego. 

Fakt, że znów mogliśmy usłyszeć o niektórych z tych grup i ich ofiarach, nie wydaje się być przypadkowy. Niektórzy obserwatorzy mogą nawet interpretować powrót dużych ataków ukierunkowanych jako koniec swoistego milczącego porozumienia.   

Miało miejsce również kilka ataków na dziennikarzy, aktywistów, dysydentów politycznych oraz organizacji pozarządowych na całym świecie. W wielu z tych ataków wykorzystywano szkodliwe oprogramowanie tworzone przez firmy, które dostarczają rządom narzędzia do inwigilacji.

Na przykład, w wyniku dochodzenia zewnętrznego ustalono, że ugrupowanie NSO oraz jego szkodliwe oprogramowanie Pegasus zostało wykryte w ponad 43 państwach, co pokazuje, że biznes w tym obszarze rozwija się. Pojawiły się doniesienia odnośnie ataków przy użyciu tego szkodnika na saudyjskich dysydentów oraz woluntariuszy Amnesty International.  

Celem ataków była również społeczność tybetańska. Cyberprzestępcy wykorzystywali tu różne rodziny szkodliwego oprogramowania, w tym backdoora dla systemu Linux, oraz fałszywe media społecznościowe w celu kradzieży danych uwierzytelniających.

Wreszcie CitizenLab dostarczył szczegółowe dane dotyczące kampanii, w której artefakty Sandvine oraz GammaGroup były wykorzystywane do celów inwigilacji za pośrednictwem lokalnych dostawców usług internetowych w Egipcie, Turcji oraz Syrii.

Identyfikowanie i piętnowanie

Jest to zdecydowanie nowa strategia stanowiąca formę mechanizmu obronnego oraz reakcję wobec osób atakujących. Może być następnie wykorzystana w ofensywach dyplomatycznych i prowadzić do poważniejszych konsekwencji na poziomie państwa. Wygląda na to, że rządy nie obawiają się już upubliczniać takich ataków i przedstawiać szczegółów z ich dochodzeń, wskazując jednocześnie ugrupowania, które podejrzewają o ich przeprowadzenie. Jest to interesujący rozwój wypadków i przyszłość pokaże, co z tego wyniknie.

Koniec zawartego za rządów Obamy cyberporozumienia pomiędzy Stanami Zjednoczonymi a Chinami mógł być powodem fali powrotów chińskojęzycznych ugrupowań, jak również ataków na niektóre z opisanych wyżej „grubych ryb”. W tej nowej erze wrogości chińsko-amerykańskiej Stany Zjednoczone uzyskały zgodę na ekstradycję z Belgii chińskiego oficera wywiadu oskarżonego o konspirację i próbę szpiegostwa gospodarczego jak również kradzieży tajemnic handlowych z wielu amerykańskich firm branży lotniczej i kosmicznej.      

181205-apt-review-of-the-year-3_auto.png

Stany Zjednoczone dostarczyły szczegóły dotyczące obywatela Korei Północnej podejrzewanego o bycie członkiem ugrupowania Lazarus, odpowiedzialnego za atak na Sony Entertainment oraz aktywność WannaCry, który jest obecnie poszukiwany przez FBI.

Po głośnym ataku hakerskim na Amerykańską Partię Demokratyczną Stany Zjednoczone postawiły w stan oskarżenia 12 obywateli rosyjskich należących do jednostki 26165 i 74455 rosyjskiego głównego wywiadu wojskowego. Oskarżono również siedmiu oficerów GRU w związku z ich domniemanym udziałem w kampanii odwetowej wymierzonej przeciwko Światowej Agencji Antydopingowej, która zdemaskowała program dopingowy sponsorowany przez rząd rosyjski.

W Europie urzędnicy brytyjscy oraz Brytyjskie centrum cyberbezpieczeństwa przypisało atak not-Petya, który miał miejsce w czerwcu 2017 r., rosyjskim jednostkom wojskowym.

Na koniec warto również wspomnieć o interesującej inicjatywie, w której amerykańskie cyberdowództwo (Cyber Command) przeprowadziło kampanię w ramach „wojny informacyjnej” o jasnym przekazie skierowanym do rosyjskich tajnych agentów, żeby nawet nie próbowali wpływać na amerykańskie wybory uzupełniające.

Wszystkie powyższe i kilka innych przypadków pokazują, że stosowana jest nowa doktryna postępowania z próbami ataków hakerskich, zgodnie z którą są one upubliczniane i stanowią narzędzia dla kampanii medialnych, przyszłych negocjacji oraz dyplomacji, jak również bezpośrednim celem stają się tajni agenci. 

Sprzęt

Im bardziej szkodliwe oprogramowanie zbliża się do poziomu sprzętowego, tym trudniej jest je wykryć i usunąć. Nie jest to łatwe zadanie dla osób atakujących, ponieważ zwykle trudno jest znaleźć łańcuch exploitów pozwalający dotrzeć tak głęboko do systemu. Trudno jest również stworzyć niezawodne szkodliwe oprogramowanie działające na tak głębokich poziomach. To zawsze skłania do zastanowienia się nad tym, czy takie szkodliwe oprogramowanie nie zostało już stworzone, wykorzystując ukradkowo cechy współczesnej architektury CPU, tylko po prostu tego nie widzimy.  

Wykryte niedawno luki w zabezpieczeniach różnych procesorów otwierają drzwi exploitom, które mogły istnieć już od wielu lat, ponieważ wymiana CPU nie jest rzeczą łatwą. Nie wiadomo jeszcze, w jaki sposób będzie można wykorzystać w przyszłości luki Meltdown/Specter czy AMDFlaws, jednak osoby atakujące nie muszą się spieszyć, ponieważ wszystkie z nich będą z pewnością istniały jeszcze przez długi czas. Nawet jeśli nie zostały jeszcze wykorzystane na wolności, uważamy, że jest to bardzo cenna wiedza dla osób atakujących i być może również przypomnienie dla nas wszystkich, jak ważne jest bezpieczeństwo sprzętowe.    

W ten sposób dochodzimy do szkodliwego oprogramowania VPNFilter, które atakowało urządzenia sprzętowe na skalę masową. Kampania ta, przypisana rosyjskojęzycznej odnodze aktywności pozwoliła osobom atakującym zainfekować setki tysięcy urządzeń, zapewniając kontrolę nad ruchem sieciowym oraz umożliwiając ataki MITM. Już wcześniej ugrupowania APT wykorzystywały urządzenia sieciowe, ale nigdy nie w tak agresywny sposób.

Inne

Triton/Trisis to odnoga aktywności, której celem są organizacje przemysłowe i która zdobyła popularność w ciągu roku. Podejrzewa się, że to właśnie ona, w wyniku ataku z wykorzystaniem luki dnia zerowego, doprowadziła do zamknięcia rafinerii ropy naftowej. Według FireEye, ugrupowanie to może mieć pochodzenie rosyjskie.    

W naszych prognozach pisaliśmy już o tym, że destrukcyjne ataki mogą stać się normą w sytuacji napięć pomiędzy dwoma adwersarzami, a przypadkowe ofiary zostaną wykorzystane do wyrządzenia szkód oraz wysłania komunikatu w tej niebezpiecznej szarej strefie pomiędzy otwartym atakiem a dyplomacją.

Osoby przeprowadzające ataki w celu uzyskania korzyści finansowych być może nie stosują nowych technik, jednak może to wynikać z tego, że po prostu nie muszą. Ugrupowanie Carbanak zostało „pozbawione głowy” wraz z aresztowaniem w Hiszpanii jednego z jego przywódców; wydaje się jednak, że nie miało to wpływu na aktywność Fin7w ciągu roku. Ugrupowanie to zastosowało swojego nowego backdoora Griffon JavaScript atakującego sieci restauracji. Z kolei jego podgrupa – CobaltGoblin – również wykazała się dużą aktywnością, atakując banki w bardziej bezpośredni sposób.