Grupa APT Naikon
Jeden z naszych ostatnich raport贸w pt. "Kroniki Hellsinga: Imperium kontratakuje" rozpocz膮艂 si臋 od przedstawienia ugrupowania APT Naikon, okre艣laj膮c je jako "jedn膮 z najaktywniejszych grup APT w Azji, zw艂aszcza wok贸艂 Morza Po艂udniowochi艅skiego". Naikon zosta艂 wspomniany ze wzgl臋du na jego rol臋 w nietypowej i zaskakuj膮cej historii o rewan偶u. Na ugrupowanie APT Hellsing po raz pierwszy natkn臋li艣my si臋 w zwi膮zku z atakiem Naikon na organizacj臋 powi膮zan膮 z Hellsingiem. Bior膮c pod uwag臋 poziom zaobserwowanej aktywno艣ci grupy Naikon oraz jej nieustaj膮ce, powtarzaj膮ce si臋 pr贸by atak贸w, stwierdzili艣my, 偶e warto przyjrze膰 si臋 bli偶ej tej konfrontacji, co te偶 zrobili艣my.
Ugrupowanie APT Naikon wsp贸艂dzia艂a z grup膮, kt贸r膮 nasi koledzy z FireEye zidentyfikowali niedawno jako APT30. My jednak nie wykryli艣my 偶adnych 艣cis艂ych zwi膮zk贸w. Zbie偶no艣膰 mi臋dzy tymi grupami nie jest zaskoczeniem, zwa偶ywszy na to, 偶e obie przez lata monitorowa艂y ofiary w rejonie Morza Po艂udniowochi艅skiego, najwidoczniej w poszukiwaniu geopolitycznych danych wywiadowczych.
Raport dotycz膮cy ugrupowania Naikon zostanie uzupe艂niony o kolejny raport badaj膮cy grup臋 TTP Naikon oraz intensywn膮 aktywno艣膰 zwi膮zan膮 z atakami wok贸艂 Morza Po艂udniowochi艅skiego, kt贸ra trwa艂a od co najmniej 2010 r.
Istotne operacyjne i logistyczne cechy charakterystyczne tej grupy APT:
- Co najmniej pi臋膰 lat intensywnej, publicznej aktywno艣ci zwi膮zanej z atakami geopolitycznymi.
- Orientacja geograficzna - wed艂ug pa艅stwa, wyznaczanie okre艣lonego operatora oraz istnienie serwera proxy.
- Dynamiczna, dobrze zorganizowana infrastruktura.
- Wykorzystywanie stworzonego na zewn膮trz, rozbudowanego zestawu narz臋dzi sk艂adaj膮cych si臋 na w pe艂ni funkcjonalnego backdoora, oraz konstruktora exploit贸w.
- Wysoki wsp贸艂czynnik skuteczno艣ci infiltrowania organizacji narodowych w krajach rejonu Azja Pacyfik.
Wysoce skuteczna i skoncentrowana wok贸艂 Morza Po艂udniowochi艅skiego operacja APT
Wiosn膮 2014 r. odnotowali艣my wzrost intensywno艣ci atak贸w przeprowadzanych przez ugrupowanie APT Naikon. Osoby atakuj膮ce by艂y chi艅skoj臋zyczne, a ich celami by艂y g艂贸wnie agencje rz膮dowe najwy偶szego szczebla oraz organizacje cywilne i wojskowe w takich krajach jak Filipiny, Malezja, Kambod偶a, Indonezja, Wietnam, Birma, Singapur, Nepal, Tajlandia, Laos oraz Chiny.
Przyn臋ta
Atak zwykle rozpoczyna si臋 od wiadomo艣ci e-mail zawieraj膮cej za艂膮cznik, w kt贸rym znajduj膮 si臋 informacje mog膮ce zainteresowa膰 potencjaln膮 ofiar臋. Dokument mo偶e opiera膰 si臋 na informacjach pochodz膮cych z otwartych 藕r贸de艂 lub na poufnych informacjach skradzionych z innych zainfekowanych system贸w.
Ten dokument-przyn臋ta, lub za艂膮cznik do wiadomo艣ci e-mail, przypomina dokument Worda, w rzeczywisto艣ci jednak jest to plik wykonywalny z podw贸jnym rozszerzeniem wykorzystuj膮cy luk臋 CVE-2012-0158, dzi臋ki czemu wielu u偶ytkownik贸w mo偶e nie艣wiadomie aktywowa膰 szkodliwy kod. Po uruchomieniu pliku wykonywalnego na komputerze ofiary zostaje zainstalowane oprogramowanie spyware, a u偶ytkownikowi wy艣wietlany jest dokument-przyn臋ta, przez co my艣li on, 偶e po prostu otworzy艂 za艂膮cznik e-maila.
Konfiguracja
Narz臋dzie Naikona generuje specjalny, niewielki, zaszyfrowany plik o rozmiarze 8 000 bajt贸w i zawiera niezale偶ny od platformy kod, kt贸ry ma zosta膰 wstrzykni臋ty do przegl膮darki wraz z danymi dotycz膮cymi konfiguracji. Z pomoc膮 modu艂u rozruchowego ca艂y plik jest wstrzykiwany do pami臋ci przegl膮darki i deszyfruje blok konfiguracji, kt贸ry zawiera informacje o:
- serwerze kontroli (C&C),
- portach i 艣cie偶ce do serwera,
- nazwach plik贸w i 艣cie偶kach komponent贸w,
- sumach kontrolnych funkcji API u偶ytkownika.
Ten sam kod pobiera nast臋pnie swoje g艂贸wne cia艂o z serwera kontroli (C&C) przy u偶yciu protoko艂u SSL, 艂aduje je niezale偶nie od funkcji systemu operacyjnego i - bez zapisywania na dysku twardym - przekazuje kontrol臋 do funkcji XS02. Ca艂a funkcjonalno艣膰 jest obs艂ugiwana w pami臋ci.
Szkodliwa funkcja
G艂贸wny modu艂 stanowi narz臋dzie zdalnej administracji. Przy u偶yciu protoko艂u SSL modu艂 ustanawia po艂膮czenie z serwerem kontroli (C&C) w nast臋puj膮cy spos贸b: nawi膮zuje po艂膮czenie wychodz膮ce z serwerem kontroli i sprawdza, czy istnieje polecenie, kt贸re powinien wykona膰. Je艣li tak, wykonuje je i zwraca wynik do serwera kontroli. Repertuar modu艂u sk艂ada si臋 z 48 polece艅, kt贸re zdalny operator mo偶e wykorzysta膰 do skutecznego kontrolowania komputera ofiary. Obejmuje to przeprowadzanie pe艂nej inwentaryzacji, pobieranie i wrzucanie danych, instalowanie modu艂贸w dodatkowych lub prac臋 z poziomu wiersza polece艅.
Poni偶ej pe艂na lista polece艅:
0 |
CMD_MAIN_INFO |
1 |
CMD_PROCESS_REFRESH |
2 |
CMD_PROCESS_NAME |
3 |
CMD_PROCESS_KILL |
4 |
CMD_PROCESS_MODULE |
5 |
CMD_DRIVE_REFRESH |
6 |
CMD_DIRECTORY |
7 |
CMD_DIRECTORY_CREATE |
8 |
CMD_DIRECTORY_CREATE_HIDDEN |
9 |
CMD_DIRECTORY_DELETE |
10 |
CMD_DIRECTORY_RENAME |
11 |
CMD_DIRECOTRY_DOWNLOAD |
12 |
CMD_FILE_REFRESH |
13 |
CMD_FILE_DELETE |
14 |
CMD_FILE_RENAME |
15 |
CMD_FILE_EXECUTE_NORMAL |
16 |
CMD_FILE_EXECUTE_HIDDEN |
17 |
CMD_FILE_EXECUTE_NORMAL_CMD |
18 |
CMD_FILE_EXECUTE_HIDDEN_CMD |
19 |
CMD_FILE_UPLOAD |
20 |
CMD_FILE_DOWNLOAD |
21 |
CMD_WINDOWS_INFO |
22 |
CMD_WINDOWS_MESSAGE |
23 |
CMD_SHELL_OPEN |
24 |
CMD_SHELL_CLOSE |
25 |
CMD_SHELL_WRITE |
26 |
CMD_SERVICE_REFRESH |
27 |
CMD_SERVICE_CONTROL |
28 |
CMD_PROGRAM_INFO |
29 |
CMD_UNINSTALL_PROGRAM |
30 |
CMD_REGESTRY_INFO |
31 |
CMD_ADD_AUTO_START |
32 |
CMD_MY_PLUGIN |
33 |
CMD_3RD_PLUGIN |
34 |
CMD_REG_CREATEKEY |
35 |
CMD_REG_DELETEKEY |
36 |
CMD_REG_SETVALUE |
37 |
CMD_REG_DELETEVALUE |
38 |
CMD_SELF_KILL |
39 |
CMD_SELF_RESTART |
40 |
CMD_SELF_CONFIG |
41 |
CMD_SELF_UPDATE |
42 |
CMD_SERVER_INFO |
43 |
CMD_INSTALL_SERVICE |
44 |
CMD_FILE_DOWNLOAD2 |
45 |
CMD_RESET |
46 |
CMD_CONNECTION_TABLE |
47 |
|
48 |
|
49 |
CMD_HEART_BEAT |
Istnieje kilka modyfikacji g艂贸wnego modu艂u. Nie ma mi臋dzy nimi zasadniczych r贸偶nic - do najnowszych wersji zostaj膮 po prostu dodane dodatkowe funkcje, takie jak kompresowanie czy szyfrowanie przesy艂anych danych lub stopniowe pobieranie du偶ych plik贸w.
d085ba82824c1e61e93e113a705b8e9a |
118272 |
23.08.2012, 18:46:57 |
b4a8dc9eb26e727eafb6c8477963829c |
140800 |
20.05.2013, 11:56:38 |
172fd9cce78de38d8cbcad605e3d6675 |
118784 |
13.06.2013, 12:14:40 |
74a7e7a4de0da503472f1f051b68745 |
190464 |
19.08.2013, 05:30:12 |
93e84075bef7a11832d9c5aa70135dc6 |
154624 |
07.01.2014, 04:39:43 |
CC-Proxy-Op
Operacje serwera kontroli charakteryzuj膮 si臋:
- niewielkimi wymaganiami dotycz膮cymi utrzymania,
- zorganizowanym przydzielaniem zada艅 zale偶nym od lokalizacji geograficznej,
- r贸偶nymi podej艣ciami do komunikacji.
Serwery kontroli wymaga艂y jedynie kilku operacji w celu zarz膮dzania ca艂膮 sieci膮. Ka偶dy operator koncentrowa艂 si臋 na okre艣lonej grupie cel贸w, poniewa偶 pomi臋dzy serwerem kontroli a lokalizacj膮 cel贸w/ofiar istnieje korelacja.
Komunikacja z systemami ofiar zmienia艂a si臋 w zale偶no艣ci od celu. W niekt贸rych przypadkach, pomi臋dzy komputerem ofiary a systemem operacyjnym nawi膮zywane by艂o bezpo艣rednie po艂膮czenie. W innych przypadkach, po艂膮czenie by艂o ustanawiane za po艣rednictwem wyspecjalizowanych serwer贸w proxy zainstalowanych na serwerach wynajmowanych w niepowi膮zanych pa艅stwach. Ten dodatkowy zabieg stanowi艂 prawdopodobnie reakcj臋 na ograniczanie lub monitorowanie przez administrator贸w sieci po艂膮cze艅 wychodz膮cych z ich organizacji.
Poni偶ej znajduje si臋 lista serwer贸w kontroli oraz lokalizacji ofiar ukazuj膮ca korelacj臋 geograficzn膮:
ID |
Jakarta |
linda.googlenow.in |
ID |
Jakarta |
admin0805.gnway.net |
ID |
Jakarta |
free.googlenow.in |
ID |
|
frankhere.oicp.net |
ID |
Bandung |
frankhere.oicp.net |
ID |
Bandung |
telcom.dhtu.info |
ID |
Jakarta |
laotel08.vicp.net |
JP |
Tokyo |
greensky27.vicp.net |
KH |
|
googlemm.vicp.net |
KH |
Phnom Penh |
googlemm.vicp.net |
MM |
|
peacesyou.imwork.net |
MM |
|
sayakyaw.xicp.net |
MM |
|
ubaoyouxiang.gicp.net |
MM |
Yangon |
htkg009.gicp.net |
MM |
|
kyawthumyin.xicp.net |
MM |
|
myanmartech.vicp.net |
MM |
|
test-user123.vicp.cc |
MY |
|
us.googlereader.pw |
MY |
|
net.googlereader.pw |
MY |
|
lovethai.vicp.net |
MY |
|
yahoo.goodns.in |
MY |
Putrajaya |
xl.findmy.pw |
MY |
Putrajaya |
xl.kevins.pw |
PH |
Caloocan |
oraydns.googlesec.pw |
PH |
Caloocan |
gov.yahoomail.pw |
PH |
|
pp.googledata.pw |
PH |
|
xl.findmy.pw |
PH |
|
mlfjcjssl.gicp.net |
PH |
|
o.wm.ggpw.pw |
PH |
|
oooppp.findmy.pw |
PH |
|
cipta.kevins.pw |
PH |
|
phi.yahoomail.pw |
SG |
Singapore |
xl.findmy.pw |
SG |
Singapore |
dd.googleoffice.in |
VN |
Hanoi |
moziliafirefox.wicp.net |
VN |
Hanoi |
bkav.imshop.in |
VN |
Hanoi |
baomoi.coyo.eu |
VN |
Dong Ket |
macstore.vicp.cc |
VN |
Hanoi |
downloadwindows.imwork.net |
VN |
Hanoi |
vietkey.xicp.net |
VN |
Hanoi |
baomoi.vicp.cc |
VN |
Hanoi |
downloadwindow.imwork.net |
VN |
Binh Duong |
|
VN |
Binh Duong |
vietlex.gnway.net |
VN |
Hanoi |
|
VN |
Hanoi |
us.googlereader.pw |
VN |
Hanoi |
yahoo.goodns.in |
VN |
Hanoi |
lovethai.vicp.net |
VN |
Hanoi |
vietlex.gnway.net |
XSControl - "oprogramowanie do zarz膮dzania ofiarami" ugrupowania APT Naikon
W operacjach ugrupowania Naikon serwer kontroli to wyspecjalizowane oprogramowanie XSControl dzia艂aj膮ce na maszynie operatora. Mo偶e by膰 wykorzystywane do zarz膮dzania ca艂膮 sieci膮 zainfekowanych klient贸w. W niekt贸rych przypadkach, serwer proxy jest wykorzystywany w celu tunelowania ruchu ofiary do serwera XSControl. Serwer proxy ugrupowania Naikon to wyspecjalizowany serwer, kt贸ry przyjmuje po艂膮czenia przychodz膮ce z komputer贸w ofiar i przekierowuje je na komputer operatora. Taki serwer mo偶na skonfigurowa膰 w pa艅stwie docelowym, aby tunelowa艂 ruch z system贸w ofiar do powi膮zanych serwer贸w kontroli.
XSControl zosta艂 napisany w j臋zyku .NET przy u偶yciu DevExpress. Jego g艂贸wne mo偶liwo艣ci to:
- akceptowanie po艂膮cze艅 pocz膮tkowych od klient贸w,
- dostarczanie klientom g艂贸wnego modu艂u zdalnej administracji,
- umo偶liwianie im zdalnego administrowania zainfekowanymi komputerami przy pomocy interfejsu graficznego (GUI),
- prowadzenie log贸w aktywno艣ci klient贸w,
- prowadzenie log贸w aktywno艣ci operatora,
- wysy艂anie log贸w i plik贸w na serwer FTP.
Logi aktywno艣ci operatora zawieraj膮:
- baz臋 XML pobranych plik贸w okre艣laj膮c膮 czas wykonania operacji, 艣cie偶k臋 zdaln膮 oraz 艣cie偶k臋 lokaln膮,
- baz臋 danych nazw plik贸w, kluczy rejestru komputera ofiary dla folder贸w i sekcji 偶膮danych przez operatora,
- histori臋 wykonanych polece艅.
Pa艅stwo X / Operator X
Przeanalizujmy jeden z atak贸w grupy Naikon na przyk艂adzie pa艅stwa "X".
Z analizy wynika, 偶e kampania cyberszpiegowska przeciwko pa艅stwu X trwa od wielu lat. Komputery zainfekowane modu艂ami zdalnej kontroli zapewnia艂y osobom atakuj膮cym dost臋p do poczty firmowej i zasob贸w wewn臋trznych pracownik贸w, jak r贸wnie偶 dost臋p do zawarto艣ci poczty firmowej i prywatnej przechowywanej w serwisach zewn臋trznych.
Poni偶ej znajduje si臋 cz臋艣ciowa lista organizacji dotkni臋tych kampani膮 szpiegowsk膮 "operatora X" ugrupowania Naikon w pa艅stwie X:
- biuro prezydenta,
- si艂y zbrojne,
- biuro sekretarza gabinetu,
- rada bezpiecze艅stwa narodowego,
- biuro prokuratora generalnego,
- krajowa agencja ds. koordynacji informacji wywiadowczych,
- agencja ds. lotnictwa cywilnego,
- departament sprawiedliwo艣ci,
- policja federalna,
- sztab wykonawczy/administracji prezydenckiej i zarz膮dzania.
Kilka z tych organizacji stanowi艂o kluczowe cele i by艂o poddanych ci膮g艂emu monitoringowi w czasie rzeczywistym. Podczas monitoringu sieci przez operatora X osoby atakuj膮ce rozmie艣ci艂y serwery proxy ugrupowania Naikon w granicach pa艅stw, aby ukry膰 i obs艂ugiwa膰 po艂膮czenia wychodz膮ce w czasie rzeczywistym oraz wydobywa膰 dane z atakowanych organizacji.
W celu uzyskania danych uwierzytelniaj膮cych pracownik贸w operator X wykorzystywa艂 niekiedy keyloggery. W razie potrzeby, dostarcza艂 je za po艣rednictwem klienta zdalnej kontroli. Opr贸cz przechwytywania uderze艅 klawiszy osoba atakuj膮ca przechwytywa艂a r贸wnie偶 ruch sieciowy. Aktywno艣膰 obejmowa艂a r贸wnie偶 kopiowanie i zdaln膮 instalacj臋 winpcap w systemach wewn膮trz wra偶liwych sieci biurowych, a nast臋pnie zdaln膮 konfiguracj臋 zada艅 w celu uruchomienia sniffer贸w sieciowych. Niekt贸re grupy APT, takie jak Naikon, rozprzestrzeniaj膮 tego rodzaju narz臋dzia w r贸偶nych systemach w celu odzyskania kontroli w razie jej przypadkowej awarii.
Operator X wykorzystywa艂 r贸wnie偶 specyfik臋 kulturow膮 w swoich krajach docelowych, np. regularne i powszechnie akceptowane wykorzystywanie prywatnych kont Gmail do cel贸w zwi膮zanych z prac膮. Dlatego ugrupowanie APT Naikon bez trudu zarejestrowa艂o podobnie wygl膮daj膮ce adresy e-mail oraz wys艂a艂o swoim celom e-maile typu spear-phishing, odsy艂acze do stron infekuj膮cych szkodliwym oprogramowaniem oraz odsy艂acze do plik贸w przechowywanych na Dysku Google.
Imperium kontratakuje
Co jaki艣 czas grupa Naikon 艣ciera si臋 z innymi ugrupowaniami APT, kt贸re r贸wnie偶 s膮 aktywne w regionie. W szczeg贸lno艣ci zauwa偶yli艣my, 偶e opisywane ugrupowanie sta艂o si臋 celem ataku typu spear-phishing przeprowadzonego przez grup臋 o Hellsing. Wi臋cej informacji na temat potyczek mi臋dzy grupami Naikon i Hellsing mo偶na znale藕膰 w naszym serwisie: http://www.securelist.pl/analysis/7309,kroniki_hellsinga_imperium_kontratakuje.html.
殴ród艂o:Kaspersky Lab |