APT, таргетированные, целенаправленные атаки — все эти термины уже не первый год находятся на почетных местах в материалах секьюрити-изданий, корпоративных и частных ИБ-блогеров. Мы не оставляли эту тему без внимания, но теперь, когда накопился определенный объем информации, мы готовы выкатить большую летопись, охватывающую самые запоминающиеся атаки за последние годы.

 

Наследие Hacking Team

Одна из самых громких тем этого года — взлом Hacking Team. По высоте волны, которую он породил в информационном море, этот взлом по праву стоит в одном ряду со сливом исходников Zeus и Carberp. Спасибо безвестным авторам: этот инцидент позволил широкой общественности заглянуть в мир коммерческого «разведывательного» ПО, как его называют сами разработчики.

Всего было украдено около 400 Гбайт данных, среди которых: исходный код шпионского ПО, переписка с клиентами, данные о контрактах Hacking Team, в том числе заключенные договоры на продажу ПО различным государствам, а также большое количество другой информации, связанной с деятельностью компании.

Hacking Team

Итальянская компания, разработчик Remote Control System (троянские агенты системы с переменным успехом обнаруживаются антивирусами под названиями Da Vinci, Crisis и Morcut). Сами Hacking Team позиционируют свой продукт как legal spyware, разработанное для использования правительствами и правоохранительными органами различных государств. Со временем итальянцы произвели ребрендинг для версии 9 (версия 8 назвалась Da Vinci), после чего RCS стала носить название Galileo.

Если говорить об исходных кодах троян-агентов, то можно сказать ровно одно: ничего экстраординарного. Как говорится, все простенько и со вкусом:

  • типовые функции уже многократно были перечислены — перехват данных из почты (Gmail), интернет-мессенджеров (Skype), получение учетных данных и cookies из браузеров (Firefox, Chrome, IE), получение данных из соцсетей (Facebook, Twitter), запись с микрофона и камеры, получение содержимого облачных сервисов (googledocs, cloudfile), снятие скриншотов и геотаргетинг через GPS, извлечение сохраненных паролей из различных приложений, извлечение адресных книг (Outlook), логгинг нажатий клавиш, энумерация Wi-Fi-сетей и USB-устройств;
  • широкое использование сторонних библиотек с открытым исходным кодом: Expat (парсинг XML), Speex (кодек для сжатия речевого сигнала), библиотека интерпретатора скриптового языка Lua, Zlib (сжатие данных), SQLite (работа с БД), SimpleJSON (работа с файлами формата JSON);
  • встроенные реализации криптоалгоритмов AES, MD5, SHA-1, Base64.

Доступные в интернете исходники включают проекты Core, Scout и Soldier. Их анализ показывает, что разработчики со временем перешли на модульную систему бот-агента. Система лицензирования, завязанная на конфигурационные файлы, предусматривает различную ценовую политику в зависимости от используемых модулей (это уже из документации). Опять-таки видно, что в отдельных случаях применялась двухкомпонентная схема: сначала в систему внедрялся простой бот, а потом — более продвинутый вариант.

Разработчики предусмотрели защиту своих ботов всевозможными способами, в частности протекторами Themida и VMProtect; кроме того, в исходниках также можно было найти криптор собственной разработки. Кстати, размер неупакованного бинарника бота составляет около мегабайта, что достаточно много.

Взаимодействие с командным центром устроено через WinHTTP API. Видимо, такую реализацию выбрали из-за простоты программирования работы через системный прокси, который используют IE и Chrome. Как известно, многие корпоративные пользователи работают в среде Windows, где доступ к интернету организован через прокси с NTLM-аутентификацией по имени пользователя в домене. И как правило, системный прокси через групповые политики настроен именно на такой режим работы. Так вот, WinHTTP позволяет легко реализовать доступ в этом случае, без необходимости узнавать пароль от прокси. Управляющая часть RCS написана под платформу Windows и использует Python для реализации backend-части, а также MongoDB в качестве хранилища данных.

Куда как больший интерес представляли эксплоиты нулевого дня. Их было несколько (в том числе LPE для Windows), из них особенно интересен эксплоит для Flash (CVE-2015-5119). Во-первых, разработчики элегантно обошлись с задачей формирования вредоносных документов: несколько Python-скриптов могут сформировать docx-, xlsx-, pptx-файлы, содержащие внедренный вредоносный Flash-контент, который загружает с удаленного сайта самого бота. Для атак через браузер эксплуатировалась та же уязвимость (для IE — уязвимость JavaVM, а для других браузеров — уязвимость в win32k.sys). Таким образом, одна уязвимость использовалась во всех векторах атак, включая платформы Windows, Linux и OS X.

Во-вторых, наконец-то стали известны ценовые подробности, а заодно и выяснилось имя человека, который искал на заказ уязвимости. Как ни странно, он оказался русским — это некий индивидуальный предприниматель Торопов Виталий Сергеевич (как следует из отсканированной копии со счетом-фактурой от 20 апреля 2015 года). Платеж на сумму 39 тысяч долларов был назначен за консалтинговые услуги и должен был быть перечислен на счет в Сбербанке.


Сразу после слива отдельные разработчики Exploit Kit, в частности Angler, Neutrino и Nuclear Pack, оперативно внедрили эксплоит для CVE-2015-5119 в свои продукты, что в очередной раз продемонстрировало исключительную быстроту реагирования киберандеграунда.

Кроме собственно исходных кодов, была слита email-переписка и различная документация, откуда можно было почерпнуть немало интересного о заказчиках RCS.

Вот, например, выборка из файла Client List_Renewal date.xlsx, куда вошли страны постсоветского пространства и США (рис. 1).

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


1 комментарий

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Опубликована подробная информация о проблемах WPA2

Опубликованы подробности об уязвимостях в WPA2, представленных под общим названием KRACK. …