Следы большинства таргетированных атак в последние годы приводят в азиатский регион, где ярким пятном выделяются шанхайские серверы. В ходе расследований аналитики отмечают такие маркеры, как китайские IP-адреса, временные штампы, языковые настройки и софт, специфичные для Китая. Кто же устраивает кибератаки из-за «Великого китайского файрвола»?

Расследование масштабных целенаправленных атак порой занимает годы, поэтому подробности их проведения становятся известны далеко не сразу. Обычно к моменту их публикации все использованные уязвимости закрыты патчами, вредоносные компоненты добавлены в антивирусные базы, а C&C-серверы заблокированы. Однако в таких отчетах интересны методы, которые с небольшими изменениями продолжают использовать в новых атаках.

 

APT1 (aka Comment Crew)

Эта хакерская группа получила идентификатор за номером один и во многом способствовала популяризации термина Advanced Persistent Threat. Она установила своеобразный рекорд по количеству данных, украденных у одной организации: за десять месяцев APT1 выкачала 6,5 Тбайт документов со взломанных серверов.

Есть много свидетельств тому, что APT1 создана Минобороны КНР на базе подразделения 61398 Народно-освободительной армии Китая (НОАК). По мнению специалистов FireEye, она действует с 2006 года как отдельная структура Третьего управления Генштаба НОАК. За это время APT1 выполнила как минимум 141 таргетированную атаку. Назвать точное число сложно, поскольку часть инцидентов в сфере информационной безопасности замалчивается, а для известных атак не всегда удается доказать их принадлежность конкретной группе.

Активность APT1 по регионам, изображение: fireeye.com
Активность APT1 по регионам, изображение: fireeye.com

В соответствии с доктриной политического руководства страны «побеждать в информационных войнах» APT1 была реформирована и усилена в 2016 году.

Начало строительства новой базы APT1 в 2013 году, фото: DigitalGlobe

Начало строительства новой базы APT1 в 2013 году, фото: DigitalGlobe

Начало строительства новой базы APT1 в 2013 году, фото: DigitalGlobe

Сейчас она насчитывает в своем штате несколько тысяч людей. В основном состоит из выпускников Чжэцзянского университета и Харбинского политехнического университета с хорошим знанием английского.

Географически штаб-квартира APT1 располагается в Пудуне (новый район Шанхая), где она владеет большим комплексом зданий. Входы в них охраняются, а на всем периметре действует контрольно-пропускной режим, как на военной базе.

КПП на базе APT1, фото: city8.com
КПП на базе APT1, фото: city8.com

Чтобы ускорить активную фазу атаки и замести следы, APT1 использовала «аэродромы подскока» — зараженные компьютеры, управляемые через RDP, и FTP-серверы, на которых размещалась боевая нагрузка. Все они географически располагались в том же регионе, где находились цели.

За двухлетний период наблюдений специалисты FireEye обнаружили 1905 случаев использования таких промежуточных узлов с 832 разных IP-адресов, причем 817 из них вели в шанхайские сети China Unicom и China Telecom, а регистрационные записи Whois прямо указывали на Пудун, где, кроме штаб-квартиры APT1, нет организаций сравнимого масштаба.

Управляли этими промежуточными узлами обычно при помощи прокси HTRAN (HUC Packet Transmit Tool) с 937 разных серверов, контролируемых APT1.

В своих атаках APT1 использовала 42 бэкдора из разных семейств. Часть из них была написана давно, распространялась в даркнете или модифицировалась на заказ (Poison Ivy, Gh0st RAT и другие), но среди этого набора выделяется Backdoor.Wualess и его более поздние модификации. Похоже, это собственная разработка APT1.

Как и в других таргетированных атаках, в сценариях APT1 боевая нагрузка доставлялась на компьютеры жертв методами социального инжиниринга (в частности, spear phishing). Основная функциональность бэкдора Wualess содержалась в библиотеке wuauclt.dll, которую троян-дроппер из зараженного письма помещал на целевых компьютерах под управлением Windows в системный каталог (%SYSTEMROOT%\wuauclt.dll).

Затем бэкдор выполнял проверку на предшествующее заражение и при необходимости прописывал себя в реестре как сервис:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv "Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters "ServiceDll" = "%SystemRoot%\wuauclt.dll"

Далее бэкдор соединялся с одним из управляющих серверов через IRC:

  • NameLess.3322.org, TCP-порт 5202;
  • sb.hugesoft.org, TCP-порт 443.

Последний порт по умолчанию используется браузерами для соединения по HTTPS, поэтому обычно он не блокируется файрволами.

Получив команду, бэкдор выполнял одно из следующих действий:

  • проверял скорость подключения;
  • собирал и отправлял данные о системе и пользователях;
  • делал скриншот и отсылал его;
  • очищал DNS-кеш и подменял записи в нем;
  • скачивал и запускал на выполнение очередной зловред;
  • завершал указанные процессы в памяти;
  • искал и отправлял файлы, соответствующие указанным критериям (в основном документы офисных форматов и архивы);
  • обновлял свою версию;
  • сохранял свою копию в точке восстановления (System Volume Information).

Последняя особенность затрудняла полное удаление бэкдора, поскольку ОС обычно блокировала доступ к каталогу \System Volume Information\.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    4 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии