Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kampania "Madi". Część 2.

Dodany 27 lipca 2012, 14:26 CEST
Tagi:

W poprzednim artykule pisaliśmy o kampanii Madi, odkrytej dzięki badaniom przeprowadzonym wspólnie z naszym partnerem, firmą Seculert.

 

W niniejszej publikacji będziemy kontynuować naszą analizę infrastruktury Madi. Przyjrzymy się również komunikacji, gromadzeniu danych oraz ofiarom.

Infrastruktura Madi w bardzo prosty sposób realizuje funkcje nadzoru i komunikacji. Aktywnych jest pięć serwerów centrum kontroli (C&C) z uruchomioną usługą serwera sieciowego Microsoft IIS v7.0 i usługą Microsoft Terminal do dostępu RDP. Wszystkie serwery posiadają identyczne kopie niestandardowego oprogramowania napisanego w C# i służącego do zarządzania serwerem. Serwery te działają także jako magazyny skradzionych danych. Dane są kiepsko zorganizowane po stronie serwera, dlatego od czasu do czasu kilku operatorów musi się zalogować i skontrolować informacje przesłane z każdego z zaatakowanych systemów.

Usługi na serwerach były z nieznanych powodów często przełączane przez operatorów. Nie ma wzoru, według którego serwery przyjmują zgłoszenia od złośliwego oprogramowania. Według danych pochodzących z operacji sinkholingu i innych wiarygodnych źródeł, przybliżone lokalizacje ofiar Madi są rozmieszczone głównie na terenie Bliskiego Wschodu. Jest też kilka przypadków na terenie Stanów Zjednoczonych i krajów Unii Europejskiej, a niektóre ofiary pochodzące ze środowisk korporacyjnych i akademickich, korzystają z notebooków zainfekowanych oprogramowaniem szpiegowskim Madi i przemieszczają się po świecie:

Oto przybliżona mapa reprezentująca lokalizację ofiar Madi w oparciu o dane GeoIP. Mimo iż zdecydowanie największa ilość ofiar Madi na Bliskim Wschodzie nie jest najlepiej zobrazowana na tej mapie, pozwala ona uzmysłowić sobie zasięg Madi:

 

Powiązane domeny, które w operacji sinkholingu nie były objęte naszym lejem, zostały "zassane" przez inne grupy bezpieczeństwa IT w jeden dzień po opublikowaniu naszych doniesień. Pojawił się jednak problem - aktywne downloadery oprogramowania szpiegowskiego przestały "rozmawiać" z domenami. Zamiast tego komunikują się bezpośrednio z serwerami sieciowymi, zgodnie z wewnętrznie zakodowanymi adresami IP, unikając jakiegokolwiek rozwiązywania nazw DNS. Aby usprawnić ten proces, twórcy szkodnika wbudowali w downloadery funkcjonalność aktualizacji. Jeśli nastąpi przyłączenie puli zainfekowanych systemów do innej domeny lub adresu IP, downloader lub moduł kradzieży informacji Madi "odezwie się" do przyporządkowanego serwera C&C, pobierze adres IP lub nazwę domenową nowego serwera kontroli, zapisze nową lokalizację w pliku tekstowym na dysku, a następnie przełączy się pomiędzy węzłami centrum kontroli i rozpocznie komunikację z nowym serwerem C&C. Takie podejście wydaje się być prymitywne, biorąc pod uwagę założenia nowoczesnej, elastycznej infrastruktury cyberprzestępczej.

Kiedy źródłowe adresy IP zostaną ręcznie wywołane z systemów rejestrujących się w centrum kontroli i skojarzone z ich ASN (Autonomous System Number), staje się jasne, że największą aktywność wykazuje Iran:

Iran 84%
Pakistan 6%
Stany Zjednoczone 3%
Izrael 1%
Zjednoczone Emiraty Arabskie <1%
Arabia Saudyjska <1%

Rozesłaliśmy ogromny zbiór powiązanych ze sobą próbek szkodnika Madi do wielu producentów oprogramowania i grup szybkiego reagowania na incydenty IT. Tylko kilku dostawców odpowiedziało na naszą akcję, przesyłając zaledwie kilka plików binarnych, które są nowe w naszej kolekcji. Te liczby to najdokładniejsze wyniki, jakimi dysponujemy na tym etapie dochodzenia:


Lokalizatory C&C zakodowane w downloaderach Madi

 

Nową formę aktywności można zawrzeć na osi czasu, która może zostać utworzona dla całej grupy Madi. Największa ilość powiązanych downloaderów została stworzona w grudniu 2011 r., lutym i marcu 2012 r. oraz w czerwcu 2012 r. Najstarszy w naszej kolekcji trojan Madi został „powołany do życia” we wrześniu 2011 r., najprawdopodobniej podczas fazy testów całego projektu. Domena, do której trojan kieruje zapytania została utworzona 10 sierpnia 2011 r.

 

Informacje te wydają się mieć sens. Inni badacze byli zgodni, że kampania spear – phishingowa przybrała najostrzejszą formę w lutym 2012 r. Należy zaznaczyć, że informacje były zbierane od celów spoza Iranu. Nic nam nie wiadomo na temat aktywności na terenie samego Iranu w tym czasie.

Wiemy również, że moduły do kradzieży danych zostały opublikowane w innym czasie. Odkryliśmy, że moduły Madi, pełniące funkcje złodziei informacji, zostały utworzone na przestrzeni pięciu miesięcy. Uzyskaliśmy również adres URL, z którym komunikowały się moduły kradzieży informacji podczas przesyłania zebranych zrzutów ekranu, danych z keylogerrów, skradzionych dokumentów itd.

Oprócz informacji zamieszczonych z tym artykule, analizę infrastruktury C&C Madi można znaleźć na blogu Seculert.

 

Uwaga: 25 lipca 2012 r. otrzymaliśmy nowy wariant Madi, który łączy się z serwerem kontroli zlokalizowanym w Kanadzie. Wciąż prowadzimy dochodzenie, dlatego informacje w niniejszym artykule nie obejmują nowego serwera kontroli.