Około lipca zeszłego roku ponad 100 żołnierzy izra elskich zostało zaatakowanych przez przebiegłych cyberprzestępców. Podczas ataku włamano się do ich urządzeń, a następnie przesłano wyłuskane dane do serwera kontroli cyberprzestępców. Ponadto, na zaatakowane urządzenia pobrano aktualizacje trojana, które pozwoliły osobom atakującym rozszerzyć swoje możliwości. Operacja ta nadal była aktywna w momencie tworzenia tego postu, a ataki zgłaszano jeszcze w lutym 2017 roku.
Celem tej kampanii, która według ekspertów, nadal znajduje się na początkowym etapie, są urządzenia z systemem Android OS. Po zainfekowaniu urządzenia rozpoczyna się proces wyrafinowanego gromadzenia danych poprzez uzyskanie dostępu do możliwości audio i wideo telefonu, funkcji SMS i lokalizacji.
Kampania opiera się w dużym stopniu na socjotechnice, wykorzystując portale społecznościowe w celu nakłonienia żołnierzy do ujawnienia informacji poufnych i pobrania szkodliwych aplikacji.
Cyberprzestępcy, charakteryzujący się stosunkowo niskim poziomem technicznym oraz szerokim wykorzystywaniem socjotechniki, atakują tylko żołnierzy Sił Obronnych Izraela.
Korpus C4I oraz Departament bezpieczeństwa informacyjnego Sił Obronnych Izraela, wraz z badaczami z Kaspersky Lab, uzyskał listę ofiar, wśród których znajdują się żołnierze Sił Obronnych Izraela różnych stopni, służący gównie w rejonie Strefy Gazy.
Schemat ataku
Operacja jest przeprowadzana według tego samego schematu infekcji dla różnych ofiar:
Rysunek 1: Schemat ataku w ramach kampanii
Ugrupowanie cyberprzestępcze stosuje socjotechnikę w celu nakłonienia celów do zainstalowania szkodliwej aplikacji, nieustannie próbując zdobyć poufne informacje przy pomocy portali społecznościowych. Zaobserwowaliśmy sporą aktywność ugrupowania na Facebook Messenger. Większość awatarów (wirtualnych uczestników na etapie socjotechniki) wabi cele za pomocą podtekstu seksualnego, np. prosząc potencjalną ofiarę o wysłanie niedwuznacznych zdjęć, przesyłając w zamian sfabrykowane fotki nastolatek. Awatary udają, że pochodzą z różnych państw, takich jak Kanada, Niemcy, Szwajcaria i inne.
Po tym, jak ofiara pobierze plik APK ze szkodliwego adresu URL, osoba atakująca oczekuje od niej, że zainstaluje pakiet ręcznie. Jak widać na poniższym zrzucie ekranu, dropper żąda typowych zezwoleń użytkownika.
Rysunek 2: Zezwolenia dla droppera po zainstalowaniu się na urządzeniu mobilnym ofiary
Dropper współdziała z serwerem konfiguracyjnym, który wykorzystuje kwerendy w celu pobrania szkodliwej funkcji najbardziej odpowiedniej dla danego urządzenia.
Protokół sieciowy do komunikacji pomiędzy dropperem a serwerem konfiguracji opiera się na żądaniach HTTP POST. Następujące serwery implementują RESTful API:
LoveSongs – http://endpointup[.]com/update/upfolder/updatefun.php
YeeCall, WowoMessanger – http://droidback[.]com/pockemon/squirtle/functions.php
Rysunek 3: Komunikacja z serwerem C&C za pośrednictwem HTTP
Większość komunikacji z serwerem ma postać czystego tekstu, z wyjątkiem określonych poleceń, które są zaszyfrowane przy pomocy zakodowanego na sztywno klucza AES-128
Rysunek 4: Przechwytywnie pakietów WowoMessanger REST-API POST
Rysunek 5: Fałszywa aplikacja WowoMessanger – przepływ logiki
Wraz ze sprawdzaniem obecności ID dropper wysyła listę aplikacji zainstalowanych na urządzeniu – jeśli nie zrobił tego wcześniej.
Przepływ między różnymi wariantami droppera jest podobny z niewielkimi zmianami. Jeden wariant podszywa się pod odtwarzacz YouTube, inne stanowią aplikacje chatowe:
LoveSongs posiada funkcjonalność odtwarzacza YouTube, podczas gdy WowoMessanger nie posiada żadnej legalnej funkcjonalności; po pierwszym uruchomieniu usuwa swoją ikonkę.
Szkodliwa funkcja jest instalowana po tym, jak jeden ze wspomnianych wyżej dropperów zostanie pobrany i wykonany na urządzeniu ofiary. Jedyną szkodliwą funkcją, jaką widzieliśmy do tej pory, jest “WhatsApp_Update”.
Szkodliwa funkcja posiada dwa mechanizmy gromadzenia danych:
Większość zgromadzonych danych zostanie wysłana tylko wtedy, gdy będzie dostępna sieć WI-FI.
Polecenia C&C
Funkcja szkodliwa wykorzystuje protokół WebSocket, który zapewnia osobie atakującej interfejs w czasie rzeczywistym w celu wysyłania poleceń do szkodliwej funkcji w sposób przypominający ‘reverse shell’. Niektóre z poleceń nie zostały jeszcze zaimplementowane (jak pokazano w tabeli poniżej). Polecenia te zapewniają operatorowi podstawowe, ale niebezpieczne możliwości RAT:
COLL_AUDIO_RECORDS |
COLL_CALL_RECORDS |
GET_LOCATION |
CHECK_AVAILABILITY |
OPEN_WEBPAGE |
GET_IMAGE |
GET_DEVICE_INFO |
COLL_CAPTURED_PHOTOS |
GET_TELEPHONY_INFO |
GET_CELLS_INFO |
TAKE_SCREENSHOT |
CALL_PHONE |
GET_SEC_GALL_CACHE |
GET_SMS |
SEND_SMS |
GET_CONTACTS |
GET_BOOKMARKS |
TAKE_BACK_PIC |
CHANGE_AUDIO_SOURCE |
RECORD_AUDIO |
GET_SEARCHES |
CLOSE_APP |
GET_HISTORY |
OPEN_APP |
GET_CALENDER_EVENTS |
RESTART |
GET_USER_DICTIONARY |
SHUTDOWN |
UNINSTALL_APP |
GET_ACCOUNTS |
INSTALL_APK |
GET_INSTALLED_APPS |
GET_WHATSAPP_KEY |
RECORD_FRONT_VIDEO |
GET_WHATSAPP_BACKUP |
GET_FILE |
GET_CALLS |
GET_ROOT_STATUS |
TAKE_FRONT_PIC |
RECORD_BACK_VIDEO |
INVALID_COMMAND |
REMOVE_FILE |
*Zaimplementowane polecenia zaznaczno pogrubioną czcionką
Zaplanowany proces
Oprócz poleceń C&C szkodliwa funkcja gromadzi okresowo dane przy pomocy różnych API Androida. Domyślny przedział czasowy wynosi 30 sekund. W procesie zbierane są następujące dane:
Osoby atakujące zaimplementowały całą szkodliwą logikę bez źródeł natywnych czy osób trzecich. Logika automatycznej funkcji rejestrowania połączeń jest całkowicie implementowana przy użyciu API Androida.
Rysunek 6: Implementacja rejestracji połączeń w WhatsApp_update
Siły Obronne Izraela, które prowadziły badania wraz z badaczami z Kaspersky Lab, stwierdziły, że jest to zaledwie etap początkowy operacji. Ponadto, jest to z definicji atak ukierunkowany na Siły Obronne Izraela mający na celu uzyskanie danych dotyczących rozmieszczenia sił lądowych, taktyk i sprzętu wykorzystywanych przez to wojsko oraz gromadzenie informacji wywiadowczych w czasie rzeczywistym.
Badacze z zespołu GReAT Kaspersky Lab zdradzą więcej zakulisowych szczegółów dotyczących tej operacji podczas zbliżającego się Szczytu Analityków Bezpieczeństwa.
androidbak[.]com
droidback[.]com
endpointup[.]com
siteanalysto[.]com
goodydaddy[.]com
10f27d243adb082ce0f842c7a4a3784b01f7248e
b8237782486a26d5397b75eeea7354a777bff63a
09c3af7b0a6957d5c7c80f67ab3b9cd8bef88813
9b923303f580c999f0fdc25cad600dd3550fe4e0
0b58c883efe44ff010fl703db00c9ff4645b59df
0a5dc47b06de545d8236d70efee801ca573115e7
782a0
Analizy
Blog