"Red October" - dochodzenie w sprawie cyberatak贸w na plac贸wki dyplomatyczne
Spis tre艣ci
- Streszczenie
- Anatomia ataku
- O艣 czasu
- Cele
- Statystyki leja
- Dane KSN i leja
- Informacje o centrum kontroli (C&C)
Streszczenie
W pa藕dzierniku 2012 r., Globalny Zesp贸艂 ds. Bada艅 i Analiz (GReAT), Kaspersky Lab, zainicjowa艂 nowe badania zagro偶e艅 po serii atak贸w na sieci komputerowe r贸偶nych mi臋dzynarodowych organizacji s艂u偶by dyplomatycznej. W trakcie dochodzenia ujawniono i analizowano zakrojon膮 na du偶膮 skal臋 operacj臋 cyberszpiegowsk膮, kt贸r膮 nazwano "Red October" (na cze艣膰 s艂ynnej powie艣ci "Polowanie na Czerwony Pa藕dziernik"). Niniejsze sprawozdanie opiera si臋 na szczeg贸艂owej analizie technicznej serii ukierunkowanych atak贸w, wymierzonych przeciwko plac贸wkom dyplomatycznym, agencjom rz膮dowym i organizacjom naukowym w r贸偶nych krajach, w wi臋kszo艣ci zwi膮zanych z regionem Europy Wschodniej, by艂ych republik ZSRR i terytorium Azji 艢rodkowej.
G艂贸wnym celem napastnik贸w by艂o zebranie wywiadu z zaatakowanych organizacji. Wywiad obejmowa艂 systemy komputerowe, osobiste urz膮dzenia przeno艣ne i urz膮dzenia sieciowe. Najwcze艣niejsze dowody wskazuj膮, 偶e omawiana kampania cyberszpiegowska by艂a aktywna od roku 2007 i wci膮偶 jest aktywna w czasie pisania tego artyku艂u (stycze艅 2013). Poza tym, dane rejestracyjne, wykorzystane przy zakupie kilku serwer贸w centrum kontroli (C&C, C2), oraz unikalne nazwy plik贸w szkodliwego oprogramowania wskazuj膮ce na obecnych napastnik贸w, wyra藕nie sygnalizuj膮, 偶e kampania "Red October" mog艂a zosta膰 uruchomiona ju偶 w maju 2007 r.
G艂贸wne ustalenia
Napastnicy: s膮 aktywni od co najmniej pi臋ciu lat, koncentruj膮c si臋 na agencjach dyplomatycznych i rz膮dowych r贸偶nych kraj贸w na ca艂ym 艣wiecie. Informacje zebrane z zainfekowanych sieci s膮 wykorzystywane w p贸藕niejszych atakach. Na przyk艂ad, skradzione po艣wiadczenia zbierane s膮 w jedn膮 list臋 i wykorzystywane, gdy napastnicy chc膮 odgadn膮膰 has艂a i po艣wiadczenia sieciowe w innych lokalizacjach / siedzibach danego celu. Aby kontrolowa膰 sie膰 zainfekowanych maszyn, atakuj膮cy stworzyli ponad 60 nazw domen i kilka serwer贸w hostingowych w r贸偶nych krajach (g艂贸wnie w Niemczech i w Rosji). Infrastruktura C&C jest w rzeczywisto艣ci sieci膮 serwer贸w pracuj膮cych jako proxy i ukrywaj膮cych po艂o偶enie prawdziwego "statku matki", czyli g艂贸wnego serwera kontroli.
Unikalna architektura: atakuj膮cy stworzyli wielofunkcyjn膮 platform臋, kt贸ra jest w stanie adaptowa膰 rozszerzenia funkcji do gromadzenia r贸偶nych typ贸w danych. System jest odporny na przej臋cie serwera C&C i pozwala atakuj膮cemu odzyska膰 dost臋p do zainfekowanych komputer贸w po skorzystaniu z alternatywnych kana艂贸w komunikacji.
Szeroki dob贸r cel贸w: Obok tradycyjnych cel贸w ataku (g艂贸wnie stacje robocze), system jest zdolny do kradzie偶y danych z urz膮dze艅 mobilnych (iPhone, Nokia, Windows Mobile), wykonywania zrzut贸w konfiguracji sprz臋tu sieciowego (Cisco), przejmowania plik贸w z dysk贸w wymiennych (w tym ju偶 usuni臋tych plik贸w - za pomoc膮 niestandardowej procedury odzyskiwania plik贸w).
Wprowadzanie exploit贸w: Pr贸bki, kt贸re uda艂o nam si臋 pozyska膰, u偶ywa艂y kodu exploita wykorzystuj膮cego luki w aplikacjach Microsoft Word i Microsoft Excel. Exploit ten zosta艂 stworzony przez innych napastnik贸w i by艂 wykorzystywany podczas zupe艂nie innych atak贸w. Napastnicy pozostawili zaimportowany kod exploita nietkni臋ty, by膰 mo偶e w celu utrudnienia procesu identyfikacji.
Identyfikacja napastnik贸w: Na podstawie danych rejestracyjnych serwer贸w C&C oraz licznych "pozosta艂o艣ci" w plikach wykonywalnych szkodliwego oprogramowania, jeste艣my przekonani, 偶e napastnicy maj膮 rosyjskoj臋zyczne korzenie. Obecne ataki i utworzone pliki wykonywalne, opracowane przez tych napastnik贸w, do niedawna pozostawa艂y nieznane, a sami atakuj膮cy nigdy nie byli powi膮zani z 偶adnymi innymi atakami cybernetycznymi.
Anatomia ataku
Opis og贸lny
Ataki post臋powa艂y wed艂ug klasycznego scenariusza atak贸w ukierunkowanych, sk艂adaj膮cego si臋 z dw贸ch g艂贸wnych etap贸w:
- Wst臋pna infekcja;
- Wdra偶anie dodatkowych modu艂贸w do gromadzenia informacji.
Szkodliwy kod by艂 dostarczany za po艣rednictwem poczty elektronicznej jako za艂膮czniki (dokumenty Microsoft Excel, Word i prawdopodobnie PDF), kt贸re by艂y zaopatrzone w kod exploita dla znanych luk bezpiecze艅stwa w okre艣lonych aplikacjach. Zaraz po tym, jak ofiara otworzy艂a z艂o艣liwy dokument na podatnym systemie, osadzony z艂o艣liwy kod inicjowa艂 konfiguracj臋 g艂贸wnego sk艂adnika, kt贸ry z kolei nawi膮zywa艂 komunikacj臋 z serwerami centrum kontroli. Nast臋pnie, system pobiera艂 wiele dodatkowych modu艂贸w z serwera C&C, wliczaj膮c w to modu艂y zdolne do infekcji smartfon贸w.
G艂贸wnym celem modu艂贸w szpiegowskich jest kradzie偶 informacji. Obejmuje to pliki z r贸偶nych system贸w kryptograficznych, takich jak "Acid Cryptofiler", kt贸ry jest znany z zastosowania w Unii Europejskiej / Parlamencie Europejskim / Komisji Europejskiej od lata 2011 r. Wszystkie zebrane informacje s膮 pakowane, szyfrowane i wyprowadzane na serwer C&C.
Opis krok po kroku (etap 1)
W trakcie naszego 艣ledztwa nie mogli艣my znale藕膰 偶adnych wiadomo艣ci e-mail u偶ywanych w atakach, jedynie najwa偶niejsze dokumenty z dropperami. Niemniej jednak, na podstawie po艣rednich dowod贸w, wiemy, 偶e e-maile mog膮 by膰 wysy艂ane przy u偶yciu jednej z nast臋puj膮cych metod:
- Korzystanie z anonimowych skrzynek pocztowych od dostawcy publicznych us艂ug e-mail;
- Korzystanie z wiarygodnych skrzynek pocztowych ju偶 zainfekowanych organizacji.
Tematy, jak r贸wnie偶 teksty wiadomo艣ci e-mail, by艂y zr贸偶nicowane w zale偶no艣ci od celu (odbiorcy). Za艂膮czony plik zawiera艂 kod exploita, kt贸ry aktywowa艂 w systemie program 艂aduj膮cy trojana. Zaobserwowali艣my zastosowanie co najmniej trzech r贸偶nych exploit贸w do wcze艣niej znanych luk: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) i CVE-2012-0158 (MS Word). Najwcze艣niejsze znane ataki wykorzystywa艂y exploita dla MS Excel i mia艂y miejsce pomi臋dzy rokiem 2010 i 2011, natomiast ataki wykorzystuj膮c podatno艣膰 w aplikacji MS Word pojawi艂y si臋 latem 2012 r. Godnym podkre艣lenia jest fakt, 偶e napastnicy u偶yli publicznie dost臋pnego kodu exploita, pochodz膮cego ze znanej wcze艣niej kampanii atak贸w ukierunkowanych chi艅skiego pochodzenia. Jedyn膮 rzecz膮, kt贸ra uleg艂a zmianie, jest plik wykonywalny osadzony w dokumencie - napastnicy zast膮pili go kodem stworzonym przez siebie.
Osadzony plik wykonywalny jest dropperem, kt贸ry wyodr臋bnia i uruchamia trzy dodatkowe pliki.
%TEMP%\MSC.BAT
%ProgramFiles%\WINDOWS NT\LHAFD.GCP (<- nazwa tego pliku jest zmienna)
%ProgramFiles%\WINDOWS NT\SVCHOST.EXE
Plik MSC.BAT posiada nast臋puj膮ce sk艂adniki:
chcp 1251:Repeat
attrib -a -s -h -r "%DROPPER_FILE%"
del "%DROPPER_FILE%"
if exist "%DROPPER_FILE%" goto Repeat
del "%TEMP%\msc.bat"
Innym wa偶nym faktem jest, 偶e w pierwszej linii tego pliku zawarte zosta艂o polecenie, kt贸re ma za zadanie prze艂膮czy膰 stron臋 kodow膮 infekowanej maszyny na warto艣膰 1251. Jest to konieczne w celu adresowania plik贸w i katalog贸w, kt贸rych nazwy zawieraj膮 znaki Cyrylicy.
Plik "LHAFD.GCP" jest zaszyfrowany algorytmem RC4 i skompresowany z u偶yciem biblioteki "Zlib". Ten plik jest zasadniczym backdoorem, kt贸ry jest dekodowany przez modu艂 loadera ("svchost.exe"). Odszyfrowany plik jest wstrzykiwany do pami臋ci systemowej i odpowiada za komunikacj臋 z serwerem C&C.
Na ka偶dym zainfekowanym systemie ka偶de wi臋ksze zadanie jest wykonywane przez g艂贸wny sk艂adnik backdoora. G艂贸wny sk艂adnik jest uruchamiany dopiero wtedy, gdy loader ("svchost.exe") sprawdzi dost臋pno艣膰 po艂膮czenia internetowego. Czyni to poprzez pod艂膮czenie do trzech host贸w Microsoftu:
- update.microsoft.com
- www.microsoft.com
- support.microsoft.com
Hosty wykorzystywane do walidacji po艂膮czenia internetowego
Po potwierdzeniu dost臋pno艣ci po艂膮czenia internetowego, loader uruchamia g艂贸wny sk艂adnik backdoora, kt贸ry 艂膮czy si臋 ze swoimi serwerami C&C:
Komunikacja szkodliwego oprogramowania ze swoim centrum kontroli
Po艂膮czenia z C&C s膮 zaszyfrowane - do wysy艂ania i odbierania danych u偶ywane s膮 r贸偶ne algorytmy szyfrowania.
Zaszyfrowana komunikacja z C2
Podczas naszego dochodzenia odkryli艣my ponad 60 nazw domen, stosowanych przez napastnik贸w do kontroli i pobierania danych ofiar. Ka偶da pr贸bka szkodliwego oprogramowania zawiera trzy takie domeny, kt贸re s膮 ustalone "na sztywno" wewn膮trz g艂贸wnego sk艂adnika backdoora:
Domeny C2 zdefiniowane wewn膮trz backdoora
Opis krok po kroku (etap 2)
Po nawi膮zaniu po艂膮czenia z serwerem C&C, backdoor rozpoczyna proces komunikacji, kt贸ry prowadzi do 艂adowania dodatkowych modu艂贸w. Modu艂y te mo偶na podzieli膰 na dwie kategorie: "offline" i "online". G艂贸wn膮 r贸偶nic膮 mi臋dzy tymi kategoriami jest ich zachowanie w zainfekowanym systemie:
- "Offline": modu艂y rezyduj膮 jako pliki na dysku lokalnym, s膮 zdolne do tworzenia w艂asnych kluczy rejestru w systemie i plik贸w dziennika na dysku lokalnym, mog膮 samodzielnie komunikowa膰 si臋 z serwerami centrum kontroli.
- "Online": modu艂y istniej膮 tylko w pami臋ci systemu i nigdy nie s膮 zapisywane na dysku lokalnym, nie tworz膮 kluczy rejestru, wszystkie dzienniki s膮 przechowywane w pami臋ci zamiast na dysku lokalnym, a rezultaty pracy modu艂u s膮 przesy艂ane do serwera C&C przy pomocy w艂asnego kodu szkodnika.
W艣r贸d wszystkich modu艂贸w jest jeden godny uwagi, kt贸ry jest zasadniczo specjalnie stworzony, aby by膰 osadzonym w aplikacjach Adobe Reader i Microsoft Office. G艂贸wnym celem tego modu艂u jest stworzenie niezawodnego sposobu na odzyskanie dost臋pu do systemu docelowego. Modu艂 oczekuje na specjalnie spreparowany dokument z do艂膮czonym kodem wykonywalnym i specjalnymi znacznikami. Dokument mo偶e zosta膰 wys艂any do ofiary za po艣rednictwem poczty e-mail. Nie posiada on kodu exploita i bez obaw przejdzie przez wszelkie 艣rodki ochrony. Jednak, jak w przypadku exploit贸w, dokument zostanie natychmiast przetworzony, a modu艂 uruchomi z艂o艣liw膮 aplikacj臋 do艂膮czon膮 do dokumentu. Dzi臋ki tej sztuczce mo偶na odzyska膰 dost臋p do zainfekowanych maszyn, w przypadku niespodziewanych zamkni臋膰 / awarii serwer贸w C&C.
O艣 czasu
Podczas naszych bada艅 odkryli艣my ponad 1000 unikatowych plik贸w, nale偶膮cych do oko艂o 30 r贸偶nych kategorii modu艂贸w. Wi臋kszo艣膰 z nich zosta艂a stworzona pomi臋dzy majem 2010 r., a pa藕dziernikiem 2012 r. 115 dat utworzenia plik贸w zidentyfikowanych zosta艂o jako odnosz膮ce si臋 do kampanii prowadzonej za po艣rednictwem poczty elektronicznej przez ostatnie dwa i p贸艂 roku. Koncentracja dat utworzenia plik贸w wok贸艂 konkretnego dnia mo偶e wskazywa膰 na dat臋 masowych atak贸w (co r贸wnie偶 potwierdzaj膮 nasze niekt贸re obserwacje):
Rok 2010
- 19.05.2010
- 21.07.2010
- 04.09.2010
Rok 2011
- 05.01.2011
- 14.03.2011
- 05.04.2011
- 23.06.2011
- 06.09.2011
- 21.09.2011
Rok 2012
- 12.01.2012
Poni偶ej znajduje si臋 lista nazw plik贸w przyk艂adowych za艂膮cznik贸w, kt贸re zosta艂y wys艂ane do niekt贸rych ofiar:
Nazwa pliku: |
Katyn_-_opinia_Rosjan.xls |
FIEO contacts update.xls |
spisok sotrudnikov.xls |
List of shahids.xls |
Spravochnik.xls |
Telephone.xls |
BMAC Attache List - At 11 Oct_v1[1].XLS |
MERCOSUR_Imports.xls |
C贸pia de guia de telefonos (2).xls |
Programme de fetes 2011.xls |
12 05 2011 updated.xls |
telefonebi.xls |
Cele
Do okre艣lenia cel贸w dla tych atak贸w wykorzystali艣my dwa podej艣cia. W pierwszym u偶yli艣my Kaspersky Security Network (KSN), a nast臋pnie skonfigurowali艣my w艂asny serwer do operacji sinkholingu. Dane otrzymane za pomoc膮 dw贸ch niezale偶nych metod korelowa艂y ze sob膮, a to potwierdzi艂o nasze ustalenia.
Statystyki KSN
Napastnicy u偶ywali w swoich atakach dotychczas wykryte kody exploit贸w i, ze wzgl臋du na ten fakt, na pocz膮tku badania mieli艣my ju偶 pewne statystyki pochodz膮ce z pr贸bek wykrytych przez nasze oprogramowanie antywirusowe. Szukali艣my podobnych danych detekcji w okresie 2011 - 2012. W ten spos贸b odkryli艣my ponad 300 unikalnych system贸w, na kt贸rych wykryto przynajmniej jeden modu艂 trojana.
ROSJA | 35 |
KAZACHSTAN | 21 |
AZERBEJD呕AN | 15 |
BELGIA | 15 |
INDIE | 15 |
AFGANISTAN | 10 |
ARMENIA | 10 |
IRAN | 7 |
TURKMENISTAN | 7 |
UKRAINA | 6 |
STANY ZJEDNOCZONE | 6 |
WIETNAM | 6 |
BIA艁ORU艢 | 5 |
GRECJA | 5 |
W艁OCHY | 5 |
MAROKO | 5 |
PAKISTAN | 5 |
SZWAJCARIA | 5 |
UGANDA | 5 |
ZJEDNOCZONE EMIRATY ARABSKIE | 5 |
BRAZYLIA | 4 |
FRANCJA | 4 |
GRUZJA | 4 |
NIEMCY | 4 |
JORDANIA | 4 |
MO艁DAWIA | 4 |
REPUBLIKA PO艁UDNIOWEJ AFRYKI | 4 |
TAD呕YKISTAN | 4 |
TURCJA | 4 |
UZBEKISTAN | 4 |
AUSTRIA | 3 |
CYPR | 3 |
KIRGISTAN | 3 |
LIBAN | 3 |
MALEZJA | 3 |
KATAR | 3 |
ARABIA SAUDYJSKA | 3 |
KONGO | 2 |
INDONEZJA | 2 |
KENIA | 2 |
LITWA | 2 |
OMAN | 2 |
TANZANIA | 2 |
Kraje z wi臋cej ni偶 jednym przypadkiem infekcji
Po raz kolejny zaznaczamy, 偶e powy偶sze zestawienie powsta艂o na podstawie danych dostarczonych przez produkty Kaspersky Lab. Rzeczywista liczba ofiar jest na pewno znacznie wi臋ksza.
Statystyki leja
Podczas naszego dochodzenia odkryli艣my ponad 60 nazw domen, wykorzystywanych przez r贸偶ne warianty szkodnika. Z listy domen kilka sztuk wygas艂o, wi臋c zarejestrowali艣my je ponownie, aby oceni膰 liczb臋 ofiar usi艂uj膮cych si臋 z nimi po艂膮czy膰. Nast臋puj膮ce domeny zosta艂y zarejestrowane i zassane do leja w operacji sinkholingu przeprowadzonej przez Kaspersky Lab:
Domena | Data zassania do leja |
shellupdate.com | 5 grudnia 2012 |
msgenuine.net | 19 kistopada 2012 |
microsoft-msdn.com | 5 listopada 2012 |
windowsonlineupdate.com dll-host-update.com windows-genuine.com | 2 listopada 2012 |
Wszelkie zassane do leja domeny aktualnie wskazuj膮 na adres "95.211.172.143", kt贸ry przynale偶y do serwera Kaspersky Lab. Podczas okresu 艣cis艂ego monitorowania (2 listopada 2012 - 10 stycznia 2013), zarejestrowali艣my ponad 55 000 po艂膮cze艅 z lejem. Najpopularniejsz膮 domen膮 by艂a domena "dll-host-update.com", kt贸ra odbiera艂a wi臋kszo艣膰 ruchu.
Liczba r贸偶nych adres贸w IP 艂膮cz膮cych si臋 z lejem wynios艂a 250. Z punktu widzenia podzia艂u geograficznego po艂膮cze艅 z lejem, zarejestrowali艣my ofiary pochodz膮ce z 39 kraj贸w, z kt贸rych wi臋kszo艣膰 adres贸w IP przynale偶a艂o do Szwajcarii, Kazachstanu i Grecji.
Zastanawiaj膮cy jest fakt, 偶e podczas po艂膮czenia z lejem, backdoory przedstawiaj膮 swoje unikalne identyfikatory ofiar, co pozwala艂o nam na rozdzielenie wielu adres贸w IP na poszczeg贸lne ofiary.
W oparciu o analiz臋 ruchu odbieranego przez nasz lej, stworzyli艣my poni偶sz膮 list臋 unikatowych identyfikator贸w ofiar, kraj贸w pochodzenia i mo偶liwych profili:
Identyfikator ofiary | Kraj | Profil ofiary |
0706010C1BC0B9E5B702 | Kazachstan | Rz膮dowy instytut badawczy |
0F746C2F283E2FACE581 | Kazachstan | -?- |
150BD7E7449C42C66ED1 | Kazachstan | -?- |
15B7400DBC4975BFAEF6 | Austria | -?- |
24157B5D2CD0CA8AA602 | Zjednoczone Emiraty Arabskie | -?- |
3619E36303A2A56DC880 | Rosja | Ambasada zagraniczna |
4624C55DEF872FBF2A93 | Hiszpania | -?- |
4B5181583F843A904568 | Hiszpania | -?- |
4BB2783B8AEC0B439CE8 | Szwajcaria | -?- |
5392032B24AAEE8F3333 | Kazachstan | -?- |
569530675E86118895C4 | Pakistan | -?- |
57FE04BA107DD56D2820 | Iran | Ambasada zagraniczna |
5D4102CD1D87417FF93B | Rosja | Rz膮dowy instytut badawczy |
5E65486EF8CC4EE4DB5B | Japonia | Komisja handlu zagranicznego |
6127D685ED1E72E09201 | Kazachstan | -?- |
6B9AFF89A02958C79C17 | Irlandia | Ambasada zagraniczna |
6D97B24C08DD64EEDE03 | Czechy | -?- |
7B14DE85C80368337E87 | Turcja | -?- |
89BF96469244534DC092 | Bia艂oru艣 | Rz膮dowy instytut badawczy |
8AA071A22BEDD8D8EC13 | Mo艂dawia | Rz膮d |
8C58407030570D3A3F52 | Albania | -?- |
947827A169348FB01E2F | Bo艣nia i Hercegowina | -?- |
B34C94D561B348EAC75D | Szwajcaria | -?- |
B49FC93701E7B7F83C44 | Belgia | -?- |
B6E4946A47FC3963ABC1 | Kazachstan | Grupa badawczo - energetyczna |
C978C25326D96C995038 | Rosja | -?- |
D48A783D288DC72A702B | Kazachstan | Przestrze艅 powietrzna |
DAE795D285E0A01ADED5 | Rosja | Sp贸艂ka handlowa |
DD767EEEF83A62388241 | Rosja | Rz膮dowy instytut badawczy |
W niekt贸rych przypadkach mo偶liwe jest utworzenie profilu ofiary na podstawie adresu IP. W wi臋kszo艣ci przypadk贸w, jednak偶e, to偶samo艣膰 ofiary pozostaje nieznana.
Dane KSN i leja
Niekt贸re ofiary zosta艂y zidentyfikowane za pomoc膮 adres贸w IP lub publicznych informacji WHOIS oraz nazw systemu zdalnego. Najbardziej "interesuj膮ce" z nich to:
Algieria - Ambasada |
Afganistan - Rz膮d, Wojsko, Ambasada, |
Armenia - Rz膮d, Ambasada |
Austria - Ambasada |
Azerbejd偶an - Sektor naftowy / energetyczny, Ambasada, Badania naukowe |
Bia艂oru艣 - Badania naukowe, Sektor naftowy / energetyczny, Rz膮d, Ambasada |
Belgia - Ambasada |
Bo艣nia i Hercegowina - Ambasada |
Botswana - Ambasada |
Brunei - Rz膮d |
Kongo - Ambasada |
Cypr - Ambasada, Rz膮d |
Francja - Ambasada, Wojsko |
Gruzja - Ambasada |
Niemcy - Ambasada |
Grecja - Ambasada |
W臋gry -Ambasada |
Indie - Ambasada |
Indonezja - Ambasada |
Iran - Ambasada |
Irak - Rz膮d |
Irlandia - Ambasada |
Izrael - Ambasada |
W艂ochy -Ambasada |
Japonia - Handel, Ambasada |
Jordania - Ambasada |
Kazachstan - Rz膮d, Badania naukowe, Przemys艂 lotniczy, Przemys艂 j膮drowy / energetyczny, Wojsko |
Kenia - Ambasada |
Kuwejt - Ambasada |
艁otwa - Ambasada |
Liban - Ambasada |
Litwa - Ambasada |
Luksemburg - Rz膮d |
Mauretania - Ambasada |
Mauretania - Rz膮d, Wojsko, Ambasada |
Maroko - Ambasada |
Mozambik - Ambasada |
Oman - Ambasada |
Pakistan - Ambasada |
Portugalia - Ambasada |
Katar - Ambasada |
Rosja - Ambasada, Badania naukowe, Wojsko, Przemys艂 j膮drowy / energetyczny |
Arabia Saudyjska - Ambasada |
Republika Po艂udniowej Afryki - Ambasada |
Hiszpania - Rz膮d, Ambasada |
Szwajcaria - Ambasada |
Tanzania - Ambasada |
Turcja - Ambasada |
Turkmenistan - Rz膮d, Sektor naftowy / energetyczny |
Uganda - Ambasada |
Ukraina - Wojsko |
Zjednoczone Emiraty Arabskie - Sektor naftowy / energetyczny, Ambasada, Rz膮d |
Stany Zjednoczone - Ambasada |
Uzbekistan - Ambasada |
Informacje o centrum kontroli (C&C)
List臋 najbardziej popularnych domen, wykorzystywanych w centrum kontroli, mo偶na znale藕膰 poni偶ej:
Co ciekawe, chocia偶 domena "dll-host-update.com" pojawia si臋 w jednej ze szkodliwych konfiguracji, nie zosta艂a ona zarejestrowana przez atakuj膮cych. Domena zosta艂a zarejestrowana przez Kaspersky Lab dnia 2 listopada 2012 r. do monitorowania dzia艂a艅 napastnik贸w. Kolejnym ciekawym przyk艂adem jest "dll-host-udate.com" - fraza "udate" wydaje si臋 by膰 b艂臋dem literowym. Wszystkie domeny, wykorzystywane przez napastnik贸w, wydaj膮 si臋 by膰 zarejestrowane mi臋dzy rokiem 2007 a 2012. Najstarsza znana domena zosta艂a zarejestrowana w listopadzie 2007 r.; najnowsza - w maju 2012 r. Wi臋kszo艣膰 domen zosta艂o zarejestrowanych za po艣rednictwem us艂ugi "reg.ru", ale w u偶yciu by艂y te偶 inne us艂ugi, jak "webdrive.ru", "webnames.ru" lub "timeweb.ru".
Podczas naszej kontroli, obserwowali艣my domeny wskazuj膮ce na kilka szkodliwych serwer贸w. Lista serwer贸w, wykazuj膮cych potwierdzone szkodliwe zachowanie, znajduje si臋 poni偶ej. W sumie zidentyfikowali艣my 10 z艂o艣liwych serwer贸w. Wi臋kszo艣膰 z nich znajduje si臋 w Niemczech i nale偶y do firmy hostingowej Hetzner Online Ag.
Podczas naszej analizy byli艣my w stanie uzyska膰 obraz jednego z serwer贸w centrum kontroli. Serwer okaza艂 si臋 by膰 serwerem proxy, kt贸ry przekazywa艂 偶膮dania do innego serwera na porcie 40080. Skrypt odpowiedzialny za przekierowania zosta艂 odnaleziony w lokalizacji "/root/scp.pl" i opiera艂 si臋 na narz臋dziu do przekierowania strumienia "socat". Poprzez skanowanie internetu w poszukiwaniu host贸w z otwartym portem 40080, uda艂o nam si臋 zidentyfikowa膰 w sumie trzy takie serwery, kt贸re nazwali艣my "mini-statkami-matkami":
艁膮cz膮c si臋 z tymi hostami na porcie 40080 i pobieraj膮c stron臋 indeksu, otrzymujemy standardowe tre艣ci, kt贸re s膮 identyczne we wszystkich C&C:
Pobieranie informacji indeksu (poprzez "NAG艁脫WEK" HTTP) dla tych serwer贸w, ujawnia nast臋puj膮ce dane:
curl -I --referer "http://www.google.com/" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" http://31.41.45.139:40080
HTTP/1.1 200 OK Date: Mon, 12 Nov 2012 09:58:37 GMT Server: Apache Last-Modified: Tue, 21 Feb 2012 09:00:41 GMT ETag: "8c0bf6-ba-4b975a53906e4" Accept-Ranges: bytes Content-Length: 186 Content-Type: text/html |
curl -I --referer "http://www.google.com/" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" http://178.63.208.63:40080
HTTP/1.1 200 OK Date: Mon, 12 Nov 2012 09:59:09 GMT Server: Apache Last-Modified: Tue, 21 Feb 2012 09:00:41 GMT ETag: "8c0bf6-ba-4b975a53906e4" Accept-Ranges: bytes Content-Length: 186 Content-Type: text/html |
Nale偶y zaznaczy膰, i偶 pole "last modified" na stronach wskazuje na t臋 sam膮 dat臋: Tue, 21 Feb 2012 09:00:41 GMT. Jest to wa偶ne i prawdopodobnie oznacza, 偶e trzy znane "mini-statki-matki" same s膮 serwerami proxy, kieruj膮cymi do tego jednego, nadrz臋dnego serwera "statku-matki". To pozwala nam utworzy膰 nast臋puj膮cy schemat infrastruktury C&C z listopada 2012 r.:
W przypadku serwer贸w centrum kontroli, r贸偶ne warianty backdoor贸w 艂膮cz膮 si臋 z r贸偶nymi skryptami:
Domena | Lokalizacja skryptu |
nt-windows-update.com, nt-windows-check.com, nt-windows-online.com |
/cgi-bin/nt/th /cgi-bin/nt/sk |
dll-host-update.com | /cgi-bin/dllhost/ac |
microsoft-msdn.com |
/cgi-bin/ms/check /cgi-bin/ms/flush |
windows-genuine.com |
/cgi-bin/win/wcx /cgi-bin/win/cab |
windowsonlineupdate.com | /cgi-bin/win/cab |
Dla przyk艂adu, skrypt "/cgi-bin/nt/th" jest u偶ywany do odbierania polece艅 od serwera centrum kontroli, zazwyczaj w postaci nowych wtyczek do uruchomienia na komputerze ofiary. Skrypt "/cgi-bin/nt/sk" jest wywo艂ywany przez uruchomione wtyczki w celu przesy艂ania skradzionych danych i informacji o ofierze. Podczas po艂膮czenia z C&C, backdoor anonsuje si臋 przy pomocy specjalnego ci膮gu znak贸w, zawieraj膮cego warto艣膰 heksadecymaln膮, kt贸ra zdaje si臋 by膰 unikalnym identyfikatorem ofiary. R贸偶ne warianty backdoora zawieraj膮 r贸偶ne identyfikatory ofiar. Przypuszczalnie umo偶liwia to napastnikom rozr贸偶nia膰 po艂膮czenia i wykonywa膰 okre艣lone dzia艂ania dla ka偶dej ofiary indywidualnie. Dla przyk艂adu, wa偶ny dropper XLS, nazwany "Katyn_-_opinia_Rosjan.xls" i prawdopodobnie wykorzystana przeciwko ofiarom w Polsce, zawiera ustalony identyfikator ofiary: "F50D0B17F870EB38026F". Podobny dropper XLS, zwany "tactlist_05-05-2011_.8634.xls / EEAS New contact list (05-05-2011).xls" i prawdopodobnie u偶yty w Mo艂dawii, zawiera identyfikator ofiary: "FCF5E48A0AE558F4B859".
Kolejna cz臋艣膰 tego artyku艂u obejmie modu艂y szkodliwego oprogramowania i dostarczy wi臋cej szczeg贸艂贸w technicznych na temat ich dzia艂ania.
殴ród艂o:Kaspersky Lab |