Cloud Atlas: kampania Red October wraca w wielkim stylu

Dwa lata temu opublikowali┼Ťmy nasze badanie dotycz─ůce Red October - z┼éo┼╝onej operacji cyberszpiegowskiej, której celem sta┼éy si─Ö ambasady dyplomatyczne na ca┼éym ┼Ťwiecie. Nadali┼Ťmy jej nazw─Ö RedOctober, poniewa┼╝ dochodzenie rozpocz─Öli┼Ťmy w pa┼║dzierniku 2012 roku, niezwykle gor─ůcym miesi─ůcu.  

Po naszej publikacji w styczniu 2013 roku operacja Red October zosta┼éa wkrótce zamkni─Öta, a sie─ç serwerów kontroli (C&C) - zdemontowana. Jednak w przypadku tak du┼╝ych operacji, bior─ůc pod uwag─Ö ogromn─ů inwestycj─Ö i ilo┼Ť─ç wykorzystanych zasobów, nigdy nie mo┼╝na powiedzie─ç, ┼╝e uda┼éo si─Ö je wyeliminowa─ç raz na zawsze. Zwykle stoj─ůca za nimi grupa przechodzi na kilka miesi─Öcy do tzw. podziemia, zmieniaj─ůc swoje narz─Ödzia i szkodliwe oprogramowanie, a nast─Öpnie wznawia operacje.          

Zobacz równie┼╝:

Od stycznia 2013 roku byli┼Ťmy przygotowani na mo┼╝liwy powrót operacji Red October. Nietypowe szkodliwe oprogramowanie o nazwie Mevade, które pojawi┼éo si─Ö pod koniec 2013 roku, mog┼éo by─ç takim uderzeniem. Konwencja nazw serwerów C&C szkodnika Mevade jak równie┼╝ inne podobie┼ästwa techniczne wskazywa┼éy na jego powi─ůzanie z operacj─ů Red October, jednak trop ten by┼é s┼éaby. Dopiero w sierpniu 2014 roku zauwa┼╝yli┼Ťmy co┼Ť, co kaza┼éo na zastanowi─ç si─Ö, czy Red October nie wróci┼é na dobre. 

Przedstawiamy Cloud Atlas

W sierpniu 2014 roku niektórzy z naszych u┼╝ytkowników zaobserwowali ataki ukierunkowane przy u┼╝yciu odmiany luki CVE-2012-0158 oraz nietypowego zestawu szkodliwego oprogramowania. Szybka analiza wykaza┼éa, ┼╝e szkodnik ten wyró┼╝nia si─Ö ze wzgl─Ödu na kilka niezwyk┼éych szczegó┼éów, które nie s─ů powszechne w ┼Ťwiecie ataków APT. 

Jeden z nich od razu nasun─ů┼é nam na my┼Ťl Red October, który wykorzystywa┼é plik o bardzo podobnej nazwie "Diplomatic Car for Sale.doc". Gdy zacz─Öli┼Ťmy kopa─ç g┼é─Öbiej, na jaw wysz┼éo wi─Öcej szczegó┼éów, które potwierdza┼éy t─Ö teori─Ö.  

By─ç mo┼╝e najbardziej niezwyk┼ée by┼éo to, ┼╝e exploit dla Microsoft Office nie zapisywa┼é bezpo┼Ťrednio na dysku backdoora dla Windows PE. Zamiast tego zapisywa┼é zaszyfrowany skrypt Visual Basic i uruchamia┼é go.

Cloud_Atlas_1_auto.jpg 

Szkodliwa funkcja exploita dla Cloud Atlas - VBScript

VBScript wrzuca na dysk par─Ö plików - modu┼é ┼éaduj─ůcy oraz zaszyfrowan─ů szkodliw─ů funkcj─Ö. Modu┼é ┼éaduj─ůcy wydaje si─Ö by─ç za ka┼╝dym razem inny, a ci─ůgi wewn─Ötrzne wskazuj─ů na to, ┼╝e zosta┼é on wygenerowany "polimorficznie". Szkodliwa funkcja jest zawsze zaszyfrowana przy u┼╝yciu unikatowego klucza, co sprawia, ┼╝e jej zdeszyfrowanie nie jest mo┼╝liwe bez dost─Öpu do biblioteki DLL.   

Zaobserwowali┼Ťmy kilka ró┼╝nych dokumentów charakterystycznych dla ataków spear-phishing, które dostarczaj─ů szkodliwe funkcje o unikatowych nazwach. Na przyk┼éad MD5 pliku "qPd0aKJu.vbs":  

E211C2BAD9A83A6A4247EC3959E2A730 dostarcza nast─Öpuj─ůce pliki:

DECF56296C50BD3AE10A49747573A346 - bicorporate - zaszyfrowana szkodliwa funkcja
D171DB37EF28F42740644F4028BCF727 - ctfmonrn.dll - modu┼é ┼éaduj─ůcy

VBS dodaje równie┼╝ klucz rejestru:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ ustawiaj─ůc klucz "bookstore" na warto┼Ť─ç "regsvr32 %path%\ctfmonrn.dll /s", co zapewnia ka┼╝dorazowe uruchomienie szkodliwego oprogramowania wraz ze startem systemu.  

Niektóre z zidentyfikowanych przez nas nazw bibliotek DLL to:

f4e15c1c2c95c651423dbb4cbe6c8fd5 - bicorporate.dll
649ff144aea6796679f8f9a1e9f51479 - fundamentive.dll
40e70f7f5d9cb1a669f8d8f306113485 - papersaving.dll
58db8f33a9cdd321d9525d1e68c06456 - previliges.dll
f5476728deb53fe2fa98e6a33577a9da - steinheimman.dll

Niektóre z nazw funkcji szkodliwych to:

steinheimman
papersaving
previliges
fundamentive
bicorporate
miditiming
damnatorily
munnopsis
arzner
redtailed
roodgoose
acholias
salefians
wartworts
frequencyuse
nonmagyar
shebir
getgoing

Szkodliwa funkcja zawiera zaszyfrowany blok konfiguracyjny, w którym znajduj─ů si─Ö informacje dotycz─ůce serwera kontroli (C&C):

 Cloud_Atlas_2_auto.jpg

Informacje z bloku konfiguracyjnego obejmuj─ů URL WebDAV, który jest wykorzystywany do po┼é─ůcze┼ä, nazw─Ö u┼╝ytkownika i has┼éo, dwa foldery na serwerze WebDAV wykorzystywane do przechowywania wtyczek/modu┼éów dla szkodliwego oprogramowania, w których powinny zosta─ç umieszczone dane ofiary.   

Komunikacja C&C

Implanty Cloud Atlas wykorzystuj─ů raczej nietypowy mechanizm kontroli (C&C). Wszystkie próbki szkodliwego oprogramowania, jakie widzieli┼Ťmy, komunikuj─ů si─Ö za po┼Ťrednictwem HTTPS i WebDav z tym samym serwerem "cloudme.com" - dostawc─ů us┼éug opartych na chmurze. Z informacji podanych na jego stronie internetowej wynika, ┼╝e w┼éa┼Ťcicielem i operatorem CloudMe jest CloudMe AB, firma z siedzib─ů w Linköping, w Szwecji.    

(Wa┼╝na informacja: nie s─ůdzimy, aby CloudMe by┼é w jakikolwiek sposób powi─ůzany z grup─ů Cloud Atlas - osoby atakuj─ůce po prostu zak┼éadaj─ů darmowe konta u tego dostawcy i wykorzystuj─ů je do kontrolowania swoich operacji).

Cloud_Atlas_3_auto.jpg 

Ka┼╝dy ze zidentyfikowanych przez nas zestawów szkodliwego oprogramowania komunikuje si─Ö z innym kontem CloudMe. Osoby atakuj─ůce wrzucaj─ů na konto dane, które s─ů pobierane przez implant, deszyfrowane i interpretowane. Z kolei szkodliwe oprogramowanie za po┼Ťrednictwem tego samego mechanizmu wrzuca odpowiedzi na serwer. Naturalnie powinna istnie─ç mo┼╝liwo┼Ť─ç przekonfigurowania szkodliwego oprogramowania, tak aby wykorzystywa┼éo dowoln─ů opart─ů na chmurze us┼éug─Ö magazynowania, która obs┼éuguje WebDAV.

Tak wygl─ůda jedno z kont na CloudMe:

 Cloud_Atlas_4.jpg

Dane z konta:

 Cloud_Atlas_5_auto.jpg

Pliki przechowywane w folderze o losowej nazwie zosta┼éy zamieszczone przez szkodliwe oprogramowanie i zawieraj─ů ró┼╝ne dane, takie jak informacje o systemie, uruchomionych procesach i aktualnej nazwie u┼╝ytkownika. Dane zosta┼éy skompresowane przy u┼╝yciu LZMA i zaszyfrowane za pomoc─ů AES, jednak klucze s─ů przechowywane w ciele szkodliwego oprogramowania, co pozwala zdeszyfrowa─ç informacje z serwera kontroli.

Wcze┼Ťniej podobn─ů metod─Ö stosowa┼éa tylko jedna grupa - ItaDuke - która ┼é─ůczy┼éa si─Ö z kontami dostawcy us┼éug opartych na chmurze mydrive.ch.

Statystyki dotycz─ůce ofiar: 5 najbardziej zainfekowanych pa┼ästw

 

CloudAtlas

Red October

Rosja

15

35

Kazachstan

14

21

Bia┼éoru┼Ť

4

5

Indie

2

14

Republika Czeska

2

5

 

Podobieństwa z Red October

Podobnie jak w przypadku operacji RedOctober, g┼éównym celem Cloud Atlas jest Rosja, na drugim miejscu znajduje si─Ö natomiast Kazachstan - tak wynika z danych pochodz─ůcych z Kaspersky Security Network (KSN). W rzeczywisto┼Ťci cele w tych dwóch pa┼ästwach cz─Ö┼Ťciowo pokrywaj─ů si─Ö, niewielkie ró┼╝nice odzwierciedlaj─ů zmiany geopolityczne w regionie, które zasz┼éy w ci─ůgu ostatnich dwóch lat.  

Co ciekawe, niektóre dokumenty spear-phishingowe wyst─Öpuj─ůce w kampaniach Cloud Atlas i Red October wydaj─ů si─Ö wykorzystywa─ç ten sam temat, a ich celem by┼é w ró┼╝nym czasie ten sam podmiot. 

Cloud Atlas:

Cloud_Atlas_6_auto.jpg

Red October:

Cloud_Atlas_7.jpg

Implanty szkodliwego oprogramowania w kampaniach Cloud Atlas i Red October opieraj─ů si─Ö na podobnym schemacie - module ┼éaduj─ůcym i docelowej funkcji szkodliwej przechowywanej w postaci zaszyfrowanej i skompresowanej w pliku zewn─Ötrznym. Istnieje jednak kilka istotnych ró┼╝nic, zw┼éaszcza w wykorzystywanych algorytmach szyfrowania - RC4 w RedOctober i AES w Cloud Atlas.   

Innym interesuj─ůcym podobie┼ästwem jest wykorzystywanie algorytmów kompresji w operacjach Cloud Altas i Red October. Oba szkodliwe programy maj─ů kod dla algorytmu kompresji LZMA. W operacji ClaudAtlas jest on wykorzystywany do kompresji dzienników i dekompresji zaszyfrowanej funkcji szkodliwej z serwerów kontroli, podczas gdy w operacji Red October wtyczka "scheduler" wykorzystuje go do dekompresji szkodliwych funkcji z serwera kontroli.   

Okazuje si─Ö, ┼╝e implementacja algorytmu jest identyczna w obu szkodliwych modu┼éach, jednak sposób jej wywo┼éywania ró┼╝ni si─Ö nieco, poniewa┼╝ do wersji Cloud Atlas dodano dodatkow─ů kontrol─Ö poprawno┼Ťci danych wej┼Ťciowych.

Cloud_Atlas_8_auto.jpg 

Innym ciekawym podobie┼ästwem pomi─Ödzy tymi rodzinami szkodliwego oprogramowania jest konfiguracja systemu kompilacji wykorzystywanego do kompilowania binariów. Ka┼╝da paczka binarna stworzona przy u┼╝yciu narz─Ödzi Microsoft Visual Studio posiada specjalny nag┼éówek, który zawiera informacje o liczbie wej┼Ťciowych plików obiektu oraz informacje o wersjach kompilatorów u┼╝ytych do ich stworzenia. Nag┼éówek "Rich" zosta┼é tak nazwany ze wzgl─Ödu na magiczny ci─ůg wykorzystywany do zidentyfikowania go w pliku.

Zdo┼éali┼Ťmy zidentyfikowa─ç kilka binariów kampanii Red October, które posiadaj─ů nag┼éówki "Rich" okre┼Ťlaj─ůc dok┼éadnie taki sam uk┼éad VC 2010 + pliki obiektowe VC 2008. Chocia┼╝ nie musi to oznacza─ç, ┼╝e binaria te zosta┼éy stworzone na tym samym komputerze, z pewno┼Ťci─ů zosta┼éy skompilowane przy u┼╝yciu tej samej wersji Microsoft Visual Studio oraz przy u┼╝yciu podobnej konfiguracji projektu.     

Liczba plików obiektu, modu┼é ┼éaduj─ůcy CloudAtlas

Liczba plików obiektu, wtyczka Red October Office

Liczba plików obiektu, wtyczka Red October Fileputexec

Wersja kompilatora HEX

Zdekodowana wersja kompilatora

01

01

01

009D766F

VC 2010 (kompilacja 30319)

01

01

01

009B766F

VC 2010 (kompilacja 30319)

22

2E

60

00AB766F

VC 2010 (kompilacja 30319)

5B

60

A3

00010000

-

05

07

11

00937809

VC 2008 (kompilacja 30729)

72

5C

AD

00AA766F

VC 2010 (kompilacja 30319)

20

10

18

009E766F

VC 2010 (kompilacja 30319)

Podsumowuj─ůc podobie┼ästwa mi─Ödzy tymi dwoma operacjami:

 

Cloud Atlas

Red October

Marker Shellcode w dokumentach b─Öd─ůcych cz─Ö┼Ťci─ů ataku spear-phishing

PT@T

PT@T

G┼éówne atakowane pa┼ästwo

Rosja

Rosja

Algorytm kompresji wykorzystywany do komunikacji C&C

LZMA

LZMA

Serwery C&C podszywaj─ů si─Ö pod/przekierowuj─ů do

BBC (mobilne szkodliwe oprogramowanie)

BBC

Wersja kompilatora

VC 2010 (kompilacja 30319)

VC 2010 (kompilacja 30319) (niektóre modu┼éy)

 

Najmocniejszym ogniwem ┼é─ůcz─ůcym opisywane operacje s─ů prawdopodobnie ich cele. Z danych pochodz─ůcych z KSN wynika, ┼╝e niektóre z ofiar kampanii Red October s─ů równie┼╝ ofiarami Cloud Atlas. W co najmniej jednym przypadku komputer ofiary zosta┼é zaatakowany w ci─ůgu ostatnich dwóch lat tylko dwa razy i to przy u┼╝yciu tylko dwóch szkodliwych programów - Red October i Cloud Atlas.       

Te i inne szczegó┼éy pozwalaj─ů nam s─ůdzi─ç, ┼╝e CloudAtlas to odrodzenie kampanii Red October.

Zakończenie

Po publicznym zdemaskowaniu kampanii ataków ukierunkowanych grupy APT zachowuj─ů si─Ö w przewidywalny sposób. Wi─Ökszo┼Ť─ç chi┼äskoj─Özycznych atakuj─ůcych po prostu przenosi serwery C&C w inne miejsce, przekompilowuje szkodliwe oprogramowanie i dalej prowadzi swoje kampanie.

Inne grupy, bardziej zaniepokojone zdemaskowaniem, ulegaj─ů "hibernacji" na ca┼ée miesi─ůce lub lata. Niektóre nigdy nie wracaj─ů i nie u┼╝ywaj─ů tych samych narz─Ödzi czy technik.

Gdy jednak zostanie zdemaskowana wi─Öksza operacja cyberszpiegowska, atakuj─ůcy prawdopodobnie nie zamkn─ů wszystkiego ca┼ékowicie. Na pewien czas znikn─ů z Sieci, aby ca┼ékowicie zmieni─ç swoje narz─Ödzia i powróci─ç z odnowionymi si┼éami.   

Uwa┼╝amy, ┼╝e tak by┼éo równie┼╝ w przypadku kampanii Red October, która powróci┼éa z klas─ů pod postaci─ů operacji Cloud Atlas.

Produkty firmy Kaspersky Lab wykrywaj─ů szkodliwe oprogramowanie z zestawu narz─Ödzi Cloud Atlas przy u┼╝yciu nast─Öpuj─ůcych werdyktów:  

Exploit.Win32.CVE-2012-0158.j
Exploit.Win32.CVE-2012-0158.eu
Exploit.Win32.CVE-2012-0158.aw
Exploit.MSWord.CVE-2012-0158.ea
HEUR:Trojan.Win32.CloudAtlas.gen
HEUR:Trojan.Win32.Generic
HEUR:Trojan.Script.Generic
Trojan-Spy.Win32.Agent.ctda
Trojan-Spy.Win32.Agent.cteq
Trojan-Spy.Win32.Agent.ctgm
Trojan-Spy.Win32.Agent.ctfh
Trojan-Spy.Win32.Agent.cter
Trojan-Spy.Win32.Agent.ctfk
Trojan-Spy.Win32.Agent.ctfj
Trojan-Spy.Win32.Agent.crtk
Trojan-Spy.Win32.Agent.ctcz
Trojan-Spy.Win32.Agent.cqyc
Trojan-Spy.Win32.Agent.ctfg
Trojan-Spy.Win32.Agent.ctfi
Trojan-Spy.Win32.Agent.cquy
Trojan-Spy.Win32.Agent.ctew
Trojan-Spy.Win32.Agent.ctdg
Trojan-Spy.Win32.Agent.ctlf
Trojan-Spy.Win32.Agent.ctpz
Trojan-Spy.Win32.Agent.ctdq
Trojan-Spy.Win32.Agent.ctgm
Trojan-Spy.Win32.Agent.ctin
Trojan-Spy.Win32.Agent.ctlg
Trojan-Spy.Win32.Agent.ctpd
Trojan-Spy.Win32.Agent.ctps
Trojan-Spy.Win32.Agent.ctpq
Trojan-Spy.Win32.Agent.ctpy
Trojan-Spy.Win32.Agent.ctie
Trojan-Spy.Win32.Agent.ctcz
Trojan-Spy.Win32.Agent.ctgz
Trojan-Spy.Win32.Agent.ctpr
Trojan-Spy.Win32.Agent.ctdp
Trojan-Spy.Win32.Agent.ctdr
Trojan.Win32.Agent.idso
Trojan.Win32.Agent.idrx
HEUR:Trojan.Linux.Cloudatlas.a
Trojan.AndroidOS.Cloudatlas.a
Trojan.IphoneOS.Cloudatlas.a

┼╣ród┼éo:
Kaspersky Lab