Следы большинства таргетированных атак в последние годы приводят в азиатский регион, где ярким пятном выделяются шанхайские серверы. В ходе расследований аналитики отмечают такие маркеры, как китайские IP-адреса, временные штампы, языковые настройки и софт, специфичные для Китая. Кто же устраивает кибератаки из-за «Великого китайского файрвола»?

Расследование масштабных целенаправленных атак порой занимает годы, поэтому подробности их проведения становятся известны далеко не сразу. Обычно к моменту их публикации все использованные уязвимости закрыты патчами, вредоносные компоненты добавлены в антивирусные базы, а C&C-серверы заблокированы. Однако в таких отчетах интересны методы, которые с небольшими изменениями продолжают использовать в новых атаках.

 

APT1 (aka Comment Crew)

Эта хакерская группа получила идентификатор за номером один и во многом способствовала популяризации термина Advanced Persistent Threat. Она установила своеобразный рекорд по количеству данных, украденных у одной организации: за десять месяцев APT1 выкачала 6,5 Тбайт документов со взломанных серверов.

Есть много свидетельств тому, что APT1 создана Минобороны КНР на базе подразделения 61398 Народно-освободительной армии Китая (НОАК). По мнению специалистов FireEye, она действует с 2006 года как отдельная структура Третьего управления Генштаба НОАК. За это время APT1 выполнила как минимум 141 таргетированную атаку. Назвать точное число сложно, поскольку часть инцидентов в сфере информационной безопасности замалчивается, а для известных атак не всегда удается доказать их принадлежность конкретной группе.

Активность APT1 по регионам, изображение: fireeye.com
Активность APT1 по регионам, изображение: fireeye.com

В соответствии с доктриной политического руководства страны «побеждать в информационных войнах» APT1 была реформирована и усилена в 2016 году.

Начало строительства новой базы APT1 в 2013 году, фото: DigitalGlobe

Начало строительства новой базы APT1 в 2013 году, фото: DigitalGlobe

Начало строительства новой базы APT1 в 2013 году, фото: DigitalGlobe

Сейчас она насчитывает в своем штате несколько тысяч людей. В основном состоит из выпускников Чжэцзянского университета и Харбинского политехнического университета с хорошим знанием английского.

Географически штаб-квартира APT1 располагается в Пудуне (новый район Шанхая), где она владеет большим комплексом зданий. Входы в них охраняются, а на всем периметре действует контрольно-пропускной режим, как на военной базе.

КПП на базе APT1, фото: city8.com
КПП на базе APT1, фото: city8.com

Чтобы ускорить активную фазу атаки и замести следы, APT1 использовала «аэродромы подскока» — зараженные компьютеры, управляемые через RDP, и FTP-серверы, на которых размещалась боевая нагрузка. Все они географически располагались в том же регионе, где находились цели.

За двухлетний период наблюдений специалисты FireEye обнаружили 1905 случаев использования таких промежуточных узлов с 832 разных IP-адресов, причем 817 из них вели в шанхайские сети China Unicom и China Telecom, а регистрационные записи Whois прямо указывали на Пудун, где, кроме штаб-квартиры APT1, нет организаций сравнимого масштаба.

Управляли этими промежуточными узлами обычно при помощи прокси HTRAN (HUC Packet Transmit Tool) с 937 разных серверов, контролируемых APT1.

В своих атаках APT1 использовала 42 бэкдора из разных семейств. Часть из них была написана давно, распространялась в даркнете или модифицировалась на заказ (Poison Ivy, Gh0st RAT и другие), но среди этого набора выделяется Backdoor.Wualess и его более поздние модификации. Похоже, это собственная разработка APT1.

Как и в других таргетированных атаках, в сценариях APT1 боевая нагрузка доставлялась на компьютеры жертв методами социального инжиниринга (в частности, spear phishing). Основная функциональность бэкдора Wualess содержалась в библиотеке wuauclt.dll, которую троян-дроппер из зараженного письма помещал на целевых компьютерах под управлением Windows в системный каталог (%SYSTEMROOT%\wuauclt.dll).

Затем бэкдор выполнял проверку на предшествующее заражение и при необходимости прописывал себя в реестре как сервис:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv "Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters "ServiceDll" = "%SystemRoot%\wuauclt.dll"

Далее бэкдор соединялся с одним из управляющих серверов через IRC:

  • NameLess.3322.org, TCP-порт 5202;
  • sb.hugesoft.org, TCP-порт 443.

Последний порт по умолчанию используется браузерами для соединения по HTTPS, поэтому обычно он не блокируется файрволами.

Получив команду, бэкдор выполнял одно из следующих действий:

  • проверял скорость подключения;
  • собирал и отправлял данные о системе и пользователях;
  • делал скриншот и отсылал его;
  • очищал DNS-кеш и подменял записи в нем;
  • скачивал и запускал на выполнение очередной зловред;
  • завершал указанные процессы в памяти;
  • искал и отправлял файлы, соответствующие указанным критериям (в основном документы офисных форматов и архивы);
  • обновлял свою версию;
  • сохранял свою копию в точке восстановления (System Volume Information).

Последняя особенность затрудняла полное удаление бэкдора, поскольку ОС обычно блокировала доступ к каталогу \System Volume Information\.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


4 комментария

  1. 0ri0n

    09.08.2018 at 22:17

    я х знает где ты это достал.
    Но мне понравилось. еще можно?

    • Андрей Васильков

      Андрей Васильков

      10.08.2018 at 00:01

      Можно, 0ri0n. Готов написать про APT10 (Меnuраss Теam), APT12 (Саlс Теam), APT16 (Dаnti grоuр) и другие группы. Как доставать подобную инфу, описано здесь (https://xakep.ru/2017/09/21/google-dorks/) и здесь (https://xakep.ru/2015/07/08/google-hidden-functions/). Среди проиндексированных поисковиком документов есть файлы с грифом Distribution statement C по DoDI 5230.24 (т.е. конфиденциальные). Особенно интересные обнаруживаются в доменах .mil и .gov. Плюс про APT пишут в открытых отчётах аналитиков, я упоминал их в статье.
      Спасибо за отклик!

      • faster125a

        15.08.2018 at 10:41

        А что вы делаете для того чтобы скачивать такие Документы? Насколько я понимаю это не совсем законно, даже если они лежат почти в открытом доступе. Хотелось бы статью на эту тему, т.е. как защитить себя от лишних глаз(желательно опенсорсными инструментами)

  2. AseN

    10.08.2018 at 23:07

    «Короткий запрос 05 00 00» идет не на командный сервер — а на socks5 сервер — это часть socks протокола

Оставить мнение

Check Also

Kickidler. Тестируем современное средство удаленного наблюдения и перехвата

Содержание статьиЭволюция средств наблюденияТайм-трекеры и их продвинутые аналогиДоверяем,…