"Red October" - dochodzenie w sprawie cyberatak贸w na plac贸wki dyplomatyczne

Spis tre艣ci


Streszczenie

W pa藕dzierniku 2012 r., Globalny Zesp贸艂 ds. Bada艅 i Analiz (GReAT), Kaspersky Lab, zainicjowa艂 nowe badania zagro偶e艅 po serii atak贸w na sieci komputerowe r贸偶nych mi臋dzynarodowych organizacji s艂u偶by dyplomatycznej. W trakcie dochodzenia ujawniono i analizowano zakrojon膮 na du偶膮 skal臋 operacj臋 cyberszpiegowsk膮, kt贸r膮 nazwano "Red October" (na cze艣膰 s艂ynnej powie艣ci "Polowanie na Czerwony Pa藕dziernik"). Niniejsze sprawozdanie opiera si臋 na szczeg贸艂owej analizie technicznej serii ukierunkowanych atak贸w, wymierzonych przeciwko plac贸wkom dyplomatycznym, agencjom rz膮dowym i organizacjom naukowym w r贸偶nych krajach, w wi臋kszo艣ci zwi膮zanych z regionem Europy Wschodniej, by艂ych republik ZSRR i terytorium Azji 艢rodkowej.

G艂贸wnym celem napastnik贸w by艂o zebranie wywiadu z zaatakowanych organizacji. Wywiad obejmowa艂 systemy komputerowe, osobiste urz膮dzenia przeno艣ne i urz膮dzenia sieciowe. Najwcze艣niejsze dowody wskazuj膮, 偶e omawiana kampania cyberszpiegowska by艂a aktywna od roku 2007 i wci膮偶 jest aktywna w czasie pisania tego artyku艂u (stycze艅 2013). Poza tym, dane rejestracyjne, wykorzystane przy zakupie kilku serwer贸w centrum kontroli (C&C, C2), oraz unikalne nazwy plik贸w szkodliwego oprogramowania wskazuj膮ce na obecnych napastnik贸w, wyra藕nie sygnalizuj膮, 偶e kampania "Red October" mog艂a zosta膰 uruchomiona ju偶 w maju 2007 r.

G艂贸wne ustalenia

Napastnicy: s膮 aktywni od co najmniej pi臋ciu lat, koncentruj膮c si臋 na agencjach dyplomatycznych i rz膮dowych r贸偶nych kraj贸w na ca艂ym 艣wiecie. Informacje zebrane z zainfekowanych sieci s膮 wykorzystywane w p贸藕niejszych atakach. Na przyk艂ad, skradzione po艣wiadczenia zbierane s膮 w jedn膮 list臋 i wykorzystywane, gdy napastnicy chc膮 odgadn膮膰 has艂a i po艣wiadczenia sieciowe w innych lokalizacjach / siedzibach danego celu. Aby kontrolowa膰 sie膰 zainfekowanych maszyn, atakuj膮cy stworzyli ponad 60 nazw domen i kilka serwer贸w hostingowych w r贸偶nych krajach (g艂贸wnie w Niemczech i w Rosji). Infrastruktura C&C jest w rzeczywisto艣ci sieci膮 serwer贸w pracuj膮cych jako proxy i ukrywaj膮cych po艂o偶enie prawdziwego "statku matki", czyli g艂贸wnego serwera kontroli.

Unikalna architektura: atakuj膮cy stworzyli wielofunkcyjn膮 platform臋, kt贸ra jest w stanie adaptowa膰 rozszerzenia funkcji do gromadzenia r贸偶nych typ贸w danych. System jest odporny na przej臋cie serwera C&C i pozwala atakuj膮cemu odzyska膰 dost臋p do zainfekowanych komputer贸w po skorzystaniu z alternatywnych kana艂贸w komunikacji.

Szeroki dob贸r cel贸w: Obok tradycyjnych cel贸w ataku (g艂贸wnie stacje robocze), system jest zdolny do kradzie偶y danych z urz膮dze艅 mobilnych (iPhone, Nokia, Windows Mobile), wykonywania zrzut贸w konfiguracji sprz臋tu sieciowego (Cisco), przejmowania plik贸w z dysk贸w wymiennych (w tym ju偶 usuni臋tych plik贸w - za pomoc膮 niestandardowej procedury odzyskiwania plik贸w).

Wprowadzanie exploit贸w: Pr贸bki, kt贸re uda艂o nam si臋 pozyska膰, u偶ywa艂y kodu exploita wykorzystuj膮cego luki w aplikacjach Microsoft Word i Microsoft Excel. Exploit ten zosta艂 stworzony przez innych napastnik贸w i by艂 wykorzystywany podczas zupe艂nie innych atak贸w. Napastnicy pozostawili zaimportowany kod exploita nietkni臋ty, by膰 mo偶e w celu utrudnienia procesu identyfikacji.

Identyfikacja napastnik贸w: Na podstawie danych rejestracyjnych serwer贸w C&C oraz licznych "pozosta艂o艣ci" w plikach wykonywalnych szkodliwego oprogramowania, jeste艣my przekonani, 偶e napastnicy maj膮 rosyjskoj臋zyczne korzenie. Obecne ataki i utworzone pliki wykonywalne, opracowane przez tych napastnik贸w, do niedawna pozostawa艂y nieznane, a sami atakuj膮cy nigdy nie byli powi膮zani z 偶adnymi innymi atakami cybernetycznymi.

Anatomia ataku

Opis og贸lny

Ataki post臋powa艂y wed艂ug klasycznego scenariusza atak贸w ukierunkowanych, sk艂adaj膮cego si臋 z dw贸ch g艂贸wnych etap贸w:

  1. Wst臋pna infekcja;
  2. Wdra偶anie dodatkowych modu艂贸w do gromadzenia informacji.

Szkodliwy kod by艂 dostarczany za po艣rednictwem poczty elektronicznej jako za艂膮czniki (dokumenty Microsoft Excel, Word i prawdopodobnie PDF), kt贸re by艂y zaopatrzone w kod exploita dla znanych luk bezpiecze艅stwa w okre艣lonych aplikacjach. Zaraz po tym, jak ofiara otworzy艂a z艂o艣liwy dokument na podatnym systemie, osadzony z艂o艣liwy kod inicjowa艂 konfiguracj臋 g艂贸wnego sk艂adnika, kt贸ry z kolei nawi膮zywa艂 komunikacj臋 z serwerami centrum kontroli. Nast臋pnie, system pobiera艂 wiele dodatkowych modu艂贸w z serwera C&C, wliczaj膮c w to modu艂y zdolne do infekcji smartfon贸w.

G艂贸wnym celem modu艂贸w szpiegowskich jest kradzie偶 informacji. Obejmuje to pliki z r贸偶nych system贸w kryptograficznych, takich jak "Acid Cryptofiler", kt贸ry jest znany z zastosowania w Unii Europejskiej / Parlamencie Europejskim / Komisji Europejskiej od lata 2011 r. Wszystkie zebrane informacje s膮 pakowane, szyfrowane i wyprowadzane na serwer C&C.

Opis krok po kroku (etap 1)

W trakcie naszego 艣ledztwa nie mogli艣my znale藕膰 偶adnych wiadomo艣ci e-mail u偶ywanych w atakach, jedynie najwa偶niejsze dokumenty z dropperami. Niemniej jednak, na podstawie po艣rednich dowod贸w, wiemy, 偶e e-maile mog膮 by膰 wysy艂ane przy u偶yciu jednej z nast臋puj膮cych metod:

  • Korzystanie z anonimowych skrzynek pocztowych od dostawcy publicznych us艂ug e-mail;
  • Korzystanie z wiarygodnych skrzynek pocztowych ju偶 zainfekowanych organizacji.

Tematy, jak r贸wnie偶 teksty wiadomo艣ci e-mail, by艂y zr贸偶nicowane w zale偶no艣ci od celu (odbiorcy). Za艂膮czony plik zawiera艂 kod exploita, kt贸ry aktywowa艂 w systemie program 艂aduj膮cy trojana. Zaobserwowali艣my zastosowanie co najmniej trzech r贸偶nych exploit贸w do wcze艣niej znanych luk: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) i CVE-2012-0158 (MS Word). Najwcze艣niejsze znane ataki wykorzystywa艂y exploita dla MS Excel i mia艂y miejsce pomi臋dzy rokiem 2010 i 2011, natomiast ataki wykorzystuj膮c podatno艣膰 w aplikacji MS Word pojawi艂y si臋 latem 2012 r. Godnym podkre艣lenia jest fakt, 偶e napastnicy u偶yli publicznie dost臋pnego kodu exploita, pochodz膮cego ze znanej wcze艣niej kampanii atak贸w ukierunkowanych chi艅skiego pochodzenia. Jedyn膮 rzecz膮, kt贸ra uleg艂a zmianie, jest plik wykonywalny osadzony w dokumencie - napastnicy zast膮pili go kodem stworzonym przez siebie.

Osadzony plik wykonywalny jest dropperem, kt贸ry wyodr臋bnia i uruchamia trzy dodatkowe pliki.

%TEMP%\MSC.BAT
%ProgramFiles%\WINDOWS NT\LHAFD.GCP (<- nazwa tego pliku jest zmienna)
%ProgramFiles%\WINDOWS NT\SVCHOST.EXE

Plik MSC.BAT posiada nast臋puj膮ce sk艂adniki:

chcp 1251
:Repeat
attrib -a -s -h -r "%DROPPER_FILE%"
del "%DROPPER_FILE%"
if exist "%DROPPER_FILE%" goto Repeat
del "%TEMP%\msc.bat"

Innym wa偶nym faktem jest, 偶e w pierwszej linii tego pliku zawarte zosta艂o polecenie, kt贸re ma za zadanie prze艂膮czy膰 stron臋 kodow膮 infekowanej maszyny na warto艣膰 1251. Jest to konieczne w celu adresowania plik贸w i katalog贸w, kt贸rych nazwy zawieraj膮 znaki Cyrylicy.

Plik "LHAFD.GCP" jest zaszyfrowany algorytmem RC4 i skompresowany z u偶yciem biblioteki "Zlib". Ten plik jest zasadniczym backdoorem, kt贸ry jest dekodowany przez modu艂 loadera ("svchost.exe"). Odszyfrowany plik jest wstrzykiwany do pami臋ci systemowej i odpowiada za komunikacj臋 z serwerem C&C.

Na ka偶dym zainfekowanym systemie ka偶de wi臋ksze zadanie jest wykonywane przez g艂贸wny sk艂adnik backdoora. G艂贸wny sk艂adnik jest uruchamiany dopiero wtedy, gdy loader ("svchost.exe") sprawdzi dost臋pno艣膰 po艂膮czenia internetowego. Czyni to poprzez pod艂膮czenie do trzech host贸w Microsoftu:

  • update.microsoft.com
  • www.microsoft.com
  • support.microsoft.com


Hosty wykorzystywane do walidacji po艂膮czenia internetowego

Po potwierdzeniu dost臋pno艣ci po艂膮czenia internetowego, loader uruchamia g艂贸wny sk艂adnik backdoora, kt贸ry 艂膮czy si臋 ze swoimi serwerami C&C:


Komunikacja szkodliwego oprogramowania ze swoim centrum kontroli

Po艂膮czenia z C&C s膮 zaszyfrowane - do wysy艂ania i odbierania danych u偶ywane s膮 r贸偶ne algorytmy szyfrowania.


Zaszyfrowana komunikacja z C2

Podczas naszego dochodzenia odkryli艣my ponad 60 nazw domen, stosowanych przez napastnik贸w do kontroli i pobierania danych ofiar. Ka偶da pr贸bka szkodliwego oprogramowania zawiera trzy takie domeny, kt贸re s膮 ustalone "na sztywno" wewn膮trz g艂贸wnego sk艂adnika backdoora:


Domeny C2 zdefiniowane wewn膮trz backdoora

Opis krok po kroku (etap 2)

Po nawi膮zaniu po艂膮czenia z serwerem C&C, backdoor rozpoczyna proces komunikacji, kt贸ry prowadzi do 艂adowania dodatkowych modu艂贸w. Modu艂y te mo偶na podzieli膰 na dwie kategorie: "offline" i "online". G艂贸wn膮 r贸偶nic膮 mi臋dzy tymi kategoriami jest ich zachowanie w zainfekowanym systemie:

  • "Offline": modu艂y rezyduj膮 jako pliki na dysku lokalnym, s膮 zdolne do tworzenia w艂asnych kluczy rejestru w systemie i plik贸w dziennika na dysku lokalnym, mog膮 samodzielnie komunikowa膰 si臋 z serwerami centrum kontroli.
  • "Online": modu艂y istniej膮 tylko w pami臋ci systemu i nigdy nie s膮 zapisywane na dysku lokalnym, nie tworz膮 kluczy rejestru, wszystkie dzienniki s膮 przechowywane w pami臋ci zamiast na dysku lokalnym, a rezultaty pracy modu艂u s膮 przesy艂ane do serwera C&C przy pomocy w艂asnego kodu szkodnika.

W艣r贸d wszystkich modu艂贸w jest jeden godny uwagi, kt贸ry jest zasadniczo specjalnie stworzony, aby by膰 osadzonym w aplikacjach Adobe Reader i Microsoft Office. G艂贸wnym celem tego modu艂u jest stworzenie niezawodnego sposobu na odzyskanie dost臋pu do systemu docelowego. Modu艂 oczekuje na specjalnie spreparowany dokument z do艂膮czonym kodem wykonywalnym i specjalnymi znacznikami. Dokument mo偶e zosta膰 wys艂any do ofiary za po艣rednictwem poczty e-mail. Nie posiada on kodu exploita i bez obaw przejdzie przez wszelkie 艣rodki ochrony. Jednak, jak w przypadku exploit贸w, dokument zostanie natychmiast przetworzony, a modu艂 uruchomi z艂o艣liw膮 aplikacj臋 do艂膮czon膮 do dokumentu. Dzi臋ki tej sztuczce mo偶na odzyska膰 dost臋p do zainfekowanych maszyn, w przypadku niespodziewanych zamkni臋膰 / awarii serwer贸w C&C.

O艣 czasu

Podczas naszych bada艅 odkryli艣my ponad 1000 unikatowych plik贸w, nale偶膮cych do oko艂o 30 r贸偶nych kategorii modu艂贸w. Wi臋kszo艣膰 z nich zosta艂a stworzona pomi臋dzy majem 2010 r., a pa藕dziernikiem 2012 r. 115 dat utworzenia plik贸w zidentyfikowanych zosta艂o jako odnosz膮ce si臋 do kampanii prowadzonej za po艣rednictwem poczty elektronicznej przez ostatnie dwa i p贸艂 roku. Koncentracja dat utworzenia plik贸w wok贸艂 konkretnego dnia mo偶e wskazywa膰 na dat臋 masowych atak贸w (co r贸wnie偶 potwierdzaj膮 nasze niekt贸re obserwacje):

Rok 2010

  • 19.05.2010
  • 21.07.2010
  • 04.09.2010

Rok 2011

  • 05.01.2011
  • 14.03.2011
  • 05.04.2011
  • 23.06.2011
  • 06.09.2011
  • 21.09.2011

Rok 2012

  • 12.01.2012

Poni偶ej znajduje si臋 lista nazw plik贸w przyk艂adowych za艂膮cznik贸w, kt贸re zosta艂y wys艂ane do niekt贸rych ofiar:

Nazwa pliku:
Katyn_-_opinia_Rosjan.xls
FIEO contacts update.xls
spisok sotrudnikov.xls
List of shahids.xls
Spravochnik.xls
Telephone.xls
BMAC Attache List - At 11 Oct_v1[1].XLS
MERCOSUR_Imports.xls
C贸pia de guia de telefonos (2).xls
Programme de fetes 2011.xls
12 05 2011 updated.xls
telefonebi.xls

Cele

Do okre艣lenia cel贸w dla tych atak贸w wykorzystali艣my dwa podej艣cia. W pierwszym u偶yli艣my Kaspersky Security Network (KSN), a nast臋pnie skonfigurowali艣my w艂asny serwer do operacji sinkholingu. Dane otrzymane za pomoc膮 dw贸ch niezale偶nych metod korelowa艂y ze sob膮, a to potwierdzi艂o nasze ustalenia.

Statystyki KSN

Napastnicy u偶ywali w swoich atakach dotychczas wykryte kody exploit贸w i, ze wzgl臋du na ten fakt, na pocz膮tku badania mieli艣my ju偶 pewne statystyki pochodz膮ce z pr贸bek wykrytych przez nasze oprogramowanie antywirusowe. Szukali艣my podobnych danych detekcji w okresie 2011 - 2012. W ten spos贸b odkryli艣my ponad 300 unikalnych system贸w, na kt贸rych wykryto przynajmniej jeden modu艂 trojana.

ROSJA 35
KAZACHSTAN 21
AZERBEJD呕AN 15
BELGIA 15
INDIE 15
AFGANISTAN 10
ARMENIA 10
IRAN 7
TURKMENISTAN 7
UKRAINA 6
STANY ZJEDNOCZONE 6
WIETNAM 6
BIA艁ORU艢 5
GRECJA 5
W艁OCHY 5
MAROKO 5
PAKISTAN 5
SZWAJCARIA 5
UGANDA 5
ZJEDNOCZONE EMIRATY ARABSKIE 5
BRAZYLIA 4
FRANCJA 4
GRUZJA 4
NIEMCY 4
JORDANIA 4
MO艁DAWIA 4
REPUBLIKA PO艁UDNIOWEJ AFRYKI 4
TAD呕YKISTAN 4
TURCJA 4
UZBEKISTAN 4
AUSTRIA 3
CYPR 3
KIRGISTAN 3
LIBAN 3
MALEZJA 3
KATAR 3
ARABIA SAUDYJSKA 3
KONGO 2
INDONEZJA 2
KENIA 2
LITWA 2
OMAN 2
TANZANIA 2

Kraje z wi臋cej ni偶 jednym przypadkiem infekcji

Po raz kolejny zaznaczamy, 偶e powy偶sze zestawienie powsta艂o na podstawie danych dostarczonych przez produkty Kaspersky Lab. Rzeczywista liczba ofiar jest na pewno znacznie wi臋ksza.

Statystyki leja

Podczas naszego dochodzenia odkryli艣my ponad 60 nazw domen, wykorzystywanych przez r贸偶ne warianty szkodnika. Z listy domen kilka sztuk wygas艂o, wi臋c zarejestrowali艣my je ponownie, aby oceni膰 liczb臋 ofiar usi艂uj膮cych si臋 z nimi po艂膮czy膰. Nast臋puj膮ce domeny zosta艂y zarejestrowane i zassane do leja w operacji sinkholingu przeprowadzonej przez Kaspersky Lab:

Domena Data zassania do leja
shellupdate.com 5 grudnia 2012
msgenuine.net 19 kistopada 2012
microsoft-msdn.com 5 listopada 2012
windowsonlineupdate.com
dll-host-update.com
windows-genuine.com
2 listopada 2012

Wszelkie zassane do leja domeny aktualnie wskazuj膮 na adres "95.211.172.143", kt贸ry przynale偶y do serwera Kaspersky Lab. Podczas okresu 艣cis艂ego monitorowania (2 listopada 2012 - 10 stycznia 2013), zarejestrowali艣my ponad 55 000 po艂膮cze艅 z lejem. Najpopularniejsz膮 domen膮 by艂a domena "dll-host-update.com", kt贸ra odbiera艂a wi臋kszo艣膰 ruchu.

Liczba r贸偶nych adres贸w IP 艂膮cz膮cych si臋 z lejem wynios艂a 250. Z punktu widzenia podzia艂u geograficznego po艂膮cze艅 z lejem, zarejestrowali艣my ofiary pochodz膮ce z 39 kraj贸w, z kt贸rych wi臋kszo艣膰 adres贸w IP przynale偶a艂o do Szwajcarii, Kazachstanu i Grecji.

Zastanawiaj膮cy jest fakt, 偶e podczas po艂膮czenia z lejem, backdoory przedstawiaj膮 swoje unikalne identyfikatory ofiar, co pozwala艂o nam na rozdzielenie wielu adres贸w IP na poszczeg贸lne ofiary.

W oparciu o analiz臋 ruchu odbieranego przez nasz lej, stworzyli艣my poni偶sz膮 list臋 unikatowych identyfikator贸w ofiar, kraj贸w pochodzenia i mo偶liwych profili:

Identyfikator ofiary Kraj Profil ofiary
0706010C1BC0B9E5B702 Kazachstan Rz膮dowy instytut badawczy
0F746C2F283E2FACE581 Kazachstan -?-
150BD7E7449C42C66ED1 Kazachstan -?-
15B7400DBC4975BFAEF6 Austria -?-
24157B5D2CD0CA8AA602 Zjednoczone Emiraty Arabskie -?-
3619E36303A2A56DC880 Rosja Ambasada zagraniczna
4624C55DEF872FBF2A93 Hiszpania -?-
4B5181583F843A904568 Hiszpania -?-
4BB2783B8AEC0B439CE8 Szwajcaria -?-
5392032B24AAEE8F3333 Kazachstan -?-
569530675E86118895C4 Pakistan -?-
57FE04BA107DD56D2820 Iran Ambasada zagraniczna
5D4102CD1D87417FF93B Rosja Rz膮dowy instytut badawczy
5E65486EF8CC4EE4DB5B Japonia Komisja handlu zagranicznego
6127D685ED1E72E09201 Kazachstan -?-
6B9AFF89A02958C79C17 Irlandia Ambasada zagraniczna
6D97B24C08DD64EEDE03 Czechy -?-
7B14DE85C80368337E87 Turcja -?-
89BF96469244534DC092 Bia艂oru艣 Rz膮dowy instytut badawczy
8AA071A22BEDD8D8EC13 Mo艂dawia Rz膮d
8C58407030570D3A3F52 Albania -?-
947827A169348FB01E2F Bo艣nia i Hercegowina -?-
B34C94D561B348EAC75D Szwajcaria -?-
B49FC93701E7B7F83C44 Belgia -?-
B6E4946A47FC3963ABC1 Kazachstan Grupa badawczo - energetyczna
C978C25326D96C995038 Rosja -?-
D48A783D288DC72A702B Kazachstan Przestrze艅 powietrzna
DAE795D285E0A01ADED5 Rosja Sp贸艂ka handlowa
DD767EEEF83A62388241 Rosja Rz膮dowy instytut badawczy

W niekt贸rych przypadkach mo偶liwe jest utworzenie profilu ofiary na podstawie adresu IP. W wi臋kszo艣ci przypadk贸w, jednak偶e, to偶samo艣膰 ofiary pozostaje nieznana.

Dane KSN i leja

Niekt贸re ofiary zosta艂y zidentyfikowane za pomoc膮 adres贸w IP lub publicznych informacji WHOIS oraz nazw systemu zdalnego. Najbardziej "interesuj膮ce" z nich to:

Algieria - Ambasada
Afganistan - Rz膮d, Wojsko, Ambasada,
Armenia - Rz膮d, Ambasada
Austria - Ambasada
Azerbejd偶an - Sektor naftowy / energetyczny, Ambasada, Badania naukowe
Bia艂oru艣 - Badania naukowe, Sektor naftowy / energetyczny, Rz膮d, Ambasada
Belgia - Ambasada
Bo艣nia i Hercegowina - Ambasada
Botswana - Ambasada
Brunei - Rz膮d
Kongo - Ambasada
Cypr - Ambasada, Rz膮d
Francja - Ambasada, Wojsko
Gruzja - Ambasada
Niemcy - Ambasada
Grecja - Ambasada
W臋gry -Ambasada
Indie - Ambasada
Indonezja - Ambasada
Iran - Ambasada
Irak - Rz膮d
Irlandia - Ambasada
Izrael - Ambasada
W艂ochy -Ambasada
Japonia - Handel, Ambasada
Jordania - Ambasada
Kazachstan - Rz膮d, Badania naukowe, Przemys艂 lotniczy, Przemys艂 j膮drowy / energetyczny, Wojsko
Kenia - Ambasada
Kuwejt - Ambasada
艁otwa - Ambasada
Liban - Ambasada
Litwa - Ambasada
Luksemburg - Rz膮d
Mauretania - Ambasada
Mauretania - Rz膮d, Wojsko, Ambasada
Maroko - Ambasada
Mozambik - Ambasada
Oman - Ambasada
Pakistan - Ambasada
Portugalia - Ambasada
Katar - Ambasada
Rosja - Ambasada, Badania naukowe, Wojsko, Przemys艂 j膮drowy / energetyczny
Arabia Saudyjska - Ambasada
Republika Po艂udniowej Afryki - Ambasada
Hiszpania - Rz膮d, Ambasada
Szwajcaria - Ambasada
Tanzania - Ambasada
Turcja - Ambasada
Turkmenistan - Rz膮d, Sektor naftowy / energetyczny
Uganda - Ambasada
Ukraina - Wojsko
Zjednoczone Emiraty Arabskie - Sektor naftowy / energetyczny, Ambasada, Rz膮d
Stany Zjednoczone - Ambasada
Uzbekistan - Ambasada

Informacje o centrum kontroli (C&C)

List臋 najbardziej popularnych domen, wykorzystywanych w centrum kontroli, mo偶na znale藕膰 poni偶ej:

Co ciekawe, chocia偶 domena "dll-host-update.com" pojawia si臋 w jednej ze szkodliwych konfiguracji, nie zosta艂a ona zarejestrowana przez atakuj膮cych. Domena zosta艂a zarejestrowana przez Kaspersky Lab dnia 2 listopada 2012 r. do monitorowania dzia艂a艅 napastnik贸w. Kolejnym ciekawym przyk艂adem jest "dll-host-udate.com" - fraza "udate" wydaje si臋 by膰 b艂臋dem literowym. Wszystkie domeny, wykorzystywane przez napastnik贸w, wydaj膮 si臋 by膰 zarejestrowane mi臋dzy rokiem 2007 a 2012. Najstarsza znana domena zosta艂a zarejestrowana w listopadzie 2007 r.; najnowsza - w maju 2012 r. Wi臋kszo艣膰 domen zosta艂o zarejestrowanych za po艣rednictwem us艂ugi "reg.ru", ale w u偶yciu by艂y te偶 inne us艂ugi, jak "webdrive.ru", "webnames.ru" lub "timeweb.ru".

Podczas naszej kontroli, obserwowali艣my domeny wskazuj膮ce na kilka szkodliwych serwer贸w. Lista serwer贸w, wykazuj膮cych potwierdzone szkodliwe zachowanie, znajduje si臋 poni偶ej. W sumie zidentyfikowali艣my 10 z艂o艣liwych serwer贸w. Wi臋kszo艣膰 z nich znajduje si臋 w Niemczech i nale偶y do firmy hostingowej Hetzner Online Ag.

Podczas naszej analizy byli艣my w stanie uzyska膰 obraz jednego z serwer贸w centrum kontroli. Serwer okaza艂 si臋 by膰 serwerem proxy, kt贸ry przekazywa艂 偶膮dania do innego serwera na porcie 40080. Skrypt odpowiedzialny za przekierowania zosta艂 odnaleziony w lokalizacji "/root/scp.pl" i opiera艂 si臋 na narz臋dziu do przekierowania strumienia "socat". Poprzez skanowanie internetu w poszukiwaniu host贸w z otwartym portem 40080, uda艂o nam si臋 zidentyfikowa膰 w sumie trzy takie serwery, kt贸re nazwali艣my "mini-statkami-matkami":

艁膮cz膮c si臋 z tymi hostami na porcie 40080 i pobieraj膮c stron臋 indeksu, otrzymujemy standardowe tre艣ci, kt贸re s膮 identyczne we wszystkich C&C:

Pobieranie informacji indeksu (poprzez "NAG艁脫WEK" HTTP) dla tych serwer贸w, ujawnia nast臋puj膮ce dane:

curl -I --referer "http://www.google.com/" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" http://31.41.45.139:40080

HTTP/1.1 200 OK
Date: Mon, 12 Nov 2012 09:58:37 GMT
Server: Apache
Last-Modified: Tue, 21 Feb 2012 09:00:41 GMT
ETag: "8c0bf6-ba-4b975a53906e4"
Accept-Ranges: bytes
Content-Length: 186
Content-Type: text/html

curl -I --referer "http://www.google.com/" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" http://178.63.208.63:40080

HTTP/1.1 200 OK
Date: Mon, 12 Nov 2012 09:59:09 GMT
Server: Apache
Last-Modified: Tue, 21 Feb 2012 09:00:41 GMT
ETag: "8c0bf6-ba-4b975a53906e4"
Accept-Ranges: bytes
Content-Length: 186
Content-Type: text/html

Nale偶y zaznaczy膰, i偶 pole "last modified" na stronach wskazuje na t臋 sam膮 dat臋: Tue, 21 Feb 2012 09:00:41 GMT. Jest to wa偶ne i prawdopodobnie oznacza, 偶e trzy znane "mini-statki-matki" same s膮 serwerami proxy, kieruj膮cymi do tego jednego, nadrz臋dnego serwera "statku-matki". To pozwala nam utworzy膰 nast臋puj膮cy schemat infrastruktury C&C z listopada 2012 r.:

W przypadku serwer贸w centrum kontroli, r贸偶ne warianty backdoor贸w 艂膮cz膮 si臋 z r贸偶nymi skryptami:

Domena Lokalizacja skryptu
nt-windows-update.com, nt-windows-check.com, nt-windows-online.com /cgi-bin/nt/th
/cgi-bin/nt/sk
dll-host-update.com /cgi-bin/dllhost/ac
microsoft-msdn.com /cgi-bin/ms/check
/cgi-bin/ms/flush
windows-genuine.com /cgi-bin/win/wcx
/cgi-bin/win/cab
windowsonlineupdate.com /cgi-bin/win/cab

Dla przyk艂adu, skrypt "/cgi-bin/nt/th" jest u偶ywany do odbierania polece艅 od serwera centrum kontroli, zazwyczaj w postaci nowych wtyczek do uruchomienia na komputerze ofiary. Skrypt "/cgi-bin/nt/sk" jest wywo艂ywany przez uruchomione wtyczki w celu przesy艂ania skradzionych danych i informacji o ofierze. Podczas po艂膮czenia z C&C, backdoor anonsuje si臋 przy pomocy specjalnego ci膮gu znak贸w, zawieraj膮cego warto艣膰 heksadecymaln膮, kt贸ra zdaje si臋 by膰 unikalnym identyfikatorem ofiary. R贸偶ne warianty backdoora zawieraj膮 r贸偶ne identyfikatory ofiar. Przypuszczalnie umo偶liwia to napastnikom rozr贸偶nia膰 po艂膮czenia i wykonywa膰 okre艣lone dzia艂ania dla ka偶dej ofiary indywidualnie. Dla przyk艂adu, wa偶ny dropper XLS, nazwany "Katyn_-_opinia_Rosjan.xls" i prawdopodobnie wykorzystana przeciwko ofiarom w Polsce, zawiera ustalony identyfikator ofiary: "F50D0B17F870EB38026F". Podobny dropper XLS, zwany "tactlist_05-05-2011_.8634.xls / EEAS New contact list (05-05-2011).xls" i prawdopodobnie u偶yty w Mo艂dawii, zawiera identyfikator ofiary: "FCF5E48A0AE558F4B859".

Kolejna cz臋艣膰 tego artyku艂u obejmie modu艂y szkodliwego oprogramowania i dostarczy wi臋cej szczeg贸艂贸w technicznych na temat ich dzia艂ania.

殴ród艂o:
Kaspersky Lab