Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Winnti - więcej niż tylko gra

Tagi:

Spis treści:

Firma Kaspersky Lab rozpoczęła trwające aż do dzisiejszego dnia badania jesienią 2011 r. Ich przedmiotem jest seria ataków ukierunkowanych na prywatne firmy na całym świecie. W trakcie naszego śledztwa odkryliśmy działania grupy hakerskiej o chińskim pochodzeniu. Nadaliśmy tej grupie nazwę „Winnti”. Według naszych szacunków, grupa ta działa już od kilku lat i specjalizuje się w cyberatakach przeciwko podmiotom z branży gier online. Działania grupy obejmują kradzież cyfrowych certyfikatów podpisanych przez legalnych producentów oprogramowania oraz kradzież własności intelektualnej, w tym kodu źródłowego projektów gier internetowych. Dodatkowo, cyberprzestępcy bardzo interesują się sposobem tworzenia infrastruktury sieciowej (w tym produkcją serwerów gier) swoich ofiar oraz nowymi inwestycjami obejmującymi idee konceptualne gier, projekty itd.

Nie jesteśmy pierwszym zespołem, który skupił się na tej grupie cyberprzestępczej i zaczął badać jej ataki. W roku 2010, zlokalizowana w Stanach Zjednoczonych firma HBGary badała incydent bezpieczeństwa informacji związany z grupą Winnti, jaki wystąpił u jednego z klientów HBGary – amerykańskiego producenta gier wideo.

Na początku było...

Incydent, który skierował uwagę na szkodliwe działania grupy Winnti miał miejsce jesienią 2011 r., kiedy to na dużej liczbie komputerów użytkowników końcowych na całym świecie został wykryty złośliwy trojan. Wyraźnym związkiem pomiędzy wszystkimi zainfekowanymi komputerami było to, że były one używane do grania w popularną grę online. Wkrótce po tym incydencie okazało się, że złośliwy program infekujący komputery użytkowników był częścią aktualizacji oprogramowania i pochodził z oficjalnego serwera firmy produkującej grę. Użytkownicy, których komputery zostały zainfekowane, i członkowie społeczności graczy podejrzewali, że wydawca gier komputerowych celowo wymusił zainstalowanie złośliwego oprogramowania, aby szpiegować swoich klientów. Jednak później okazało się, że szkodliwy program został zainstalowany na komputerach graczy przez przypadek, a rzeczywistym celem cyberprzestępców była właśnie firma produkująca gry komputerowe.

W odpowiedzi na incydent wydawca gier komputerowych, który był właścicielem serwerów rozprzestrzeniających trojana, zwrócił się do Kaspersky Lab z prośbą o analizę szkodliwego programu. Trojan okazał się być biblioteką DLL, przygotowaną dla 64-bitowego środowiska Windows i używającą prawidłowo podpisanego złośliwego certyfikatu. Złośliwa biblioteka DLL rozprzestrzeniała się na komputerach pracujących zarówno pod 32-bitowymi, jak i 64-bitowymi systemami operacyjnymi. Biblioteka nie mogła zostać uruchomiona w środowiskach 32-bitowych, ale mogła, pod pewnymi warunkami, uruchomić się bez wiedzy i zgody użytkownika w środowiskach 64-bitowych. Biblioteka DLL zawierała ładunek backdoora, albo żeby być bardziej precyzyjnym, pełną funkcjonalność narzędzia zdalnej administracji (RAT – Remote Administration Tool), które dawało napastnikowi możliwość kontrolowania komputera użytkownika bez jego wiedzy.

Odkrycie było szczególnie ważne, ponieważ analizowany trojan był pierwszym szkodliwym programem na 64-bitową wersję systemu Microsoft Windows, który posiadał ważny podpis cyfrowy. Widzieliśmy już wcześniej podobne przypadki, ale we wszystkich poprzednich incydentach, w których były nadużywane podpisy cyfrowe, naruszane były jedynie aplikacje 32-bitowe.

Na wczesnym etapie badania zidentyfikowaliśmy w naszej kolekcji szkodliwego oprogramowania sporą liczbę podobnych backdoorów, zarówno 32-bitowych, jak i 64-bitowych. Zgrupowaliśmy je razem do oddzielnej rodziny. Wydaje się, że firma Symantec jako pierwsza wymieniła nazwy tych szkodników; zachowaliśmy więc nazwę wprowadzoną przez firmę Symantec – Winnti – dodając ją do nazwy rodziny szkodliwego oprogramowania, którą stworzyliśmy:Backdoor.Win32(Win64).Winnti. Jeśli chodzi o ludzi, stojących za atakami z użyciem omawianego narzędzia zdalnej administracji, nadaliśmy im kolektywną nazwę „grupy Winnti”. Co ciekawe, wykorzystywany w atakach podpis cyfrowy należał do innego producenta gier wideo – prywatnej firmy znanej jako KOG, z siedzibą w Korei Południowej. Główną działalnością tej firmy była produkcja gier MMRPG – dokładnie taki sam sektor gier, jak w przypadku pierwszej ofiary. Skontaktowaliśmy się z firmą KOG, której certyfikat został użyty do podpisania złośliwego oprogramowania, i powiadomiliśmy Verisign, który wydał certyfikat dla KOG. W rezultacie tych działań certyfikat został unieważniony.

Cyfrowe certyfikaty

Kiedy odkryliśmy pierwszy skradziony certyfikat cyfrowy, jeszcze nie zdawaliśmy sobie sprawy, że kradzież certyfikatów i podpisywanie złośliwego oprogramowania używanego w przyszłych atakach na inne cele to preferowana metoda działania grupy, z którą mieliśmy do czynienia. W ciągu najbliższych 18 miesięcy odkryliśmy ponad tuzin podobnych, skompromitowanych certyfikatów cyfrowych. Ponadto, okazało się, że te certyfikaty cyfrowe zostały użyte w atakach organizowanych przez inne grupy hakerów, prawdopodobnie pochodzących z Chin. Dla przykładu, w ataku przeciwko południowokoreańskim sieciom społecznościowym Cyworld i Nate w 2011 r. napastnicy użyli trojana, który został podpisany cyfrowo przy użyciu certyfikatu cyfrowego wykradzionego od firmy produkującej gry – YNK Japan Inc. Certyfikat cyfrowy tej samej firmy był używany ostatnio (w marcu 2013 r.) do podpisywania trojanów wykorzystywanych przeciwko ujgurskim i tybetańskim aktywistom. W rzeczywistości historia ta sięga aż roku 2011. Czytelnikom pragnącym pogłębić swoją wiedzę w tym temacie polecamy lekturę bloga firmy Norman. W tym samym czasie, w marcu 2013 r.,aktywiści ujgurscy stali się celem innego szkodliwego oprogramowania, które zostało podpisane cyfrowo przez certyfikat kolejnej firmy z branży gier komputerowych – MGAME Corp. Wierzymy, że źródłem wszystkich tych skradzionych certyfikatów może być ta sama grupa Winnti. Albo ta grupa ma bliskie kontakty z innymi gangami chińskich hakerów, albo sprzedaje certyfikaty na czarnym rynku w Chinach.

Poniżej znajduje się lista znanych zaatakowanych firm i certyfikatów cyfrowych wykorzystywanych przez grupę Winnti w różnych kampaniach:

FirmaNumer seryjnyKraj
ESTsoft Corp 30 d3 fe 26 59 1d 8e ac 8c 30 66 7a c4 99 9b d7 Korea Południowa
Kog Co., Ltd. 66 e3 f0 b4 45 9f 15 ac 7f 2a 2b 44 99 0d d7 09 Korea Południowa
LivePlex Corp 1c aa 0d 0d ad f3 2a 24 04 a7 51 95 ae 47 82 0a Korea Południowa / Filipiny
MGAME Corp 4e eb 08 05 55 f1 ab f7 09 bb a9 ca e3 2f 13 cd Korea Południowa
Rosso Index KK 01 00 00 00 00 01 29 7d ba 69 dd Japonia
Sesisoft 61 3e 2f a1 4e 32 3c 69 ee 3e 72 0c 27 af e4 ce Korea Południowa
Wemade 61 00 39 d6 34 9e e5 31 e4 ca a3 a6 5d 10 0c 7d Japonia / Korea Południowa / Stany Zjednoczone
YNK Japan 67 24 34 0d db c7 25 2f 7f b7 14 b8 12 a5 c0 4d Japonia
Guangzhou YuanLuo 0b 72 79 06 8b eb 15 ff e8 06 0d 2c 56 15 3c 35 Chiny
Fantasy Technology Corp 75 82 f3 34 85 aa 26 4d e0 3b 2b df 74 e0 bf 32 Chiny
Neowiz 5c 2f 97 a3 1a bc 32 b0 8c ac 01 00 59 8f 32 f6 Korea Południowa


Ofiary

Kuszące jest, aby założyć, że zaawansowane trwałe zagrożenia (APT) dotyczą przede wszystkim instytucji wyższego szczebla: agencji rządowych, ministerstw, wojska, organizacji politycznych, elektrowni, zakładów chemicznych, sieci infrastruktury krytycznej i tak dalej. W związku z tym, wydaje się mało prawdopodobne, aby zagrożone były firmy, no chyba że te działające na skalę Google, Adobe lub New York Times. Jednakże, każda firma obracająca danymi, które mogą być skutecznie spieniężone, jest zagrożona atakami APT. Dokładnie z takim zjawiskiem mamy do czynienia w omawianym przypadku: w prowadzonej kampanii celem nie były rządy państw, organizacje polityczne, wojskowe czy przemysłowe, ale firmy produkujące gry. Trudno jest wymienić wszystkie ofiary grupy Winnti. Wnioskując z informacji, które mamy do dyspozycji – etykiet w szkodliwych programach, nazw domen centrum kontroli (C&C), firm, których certyfikaty cyfrowe zostały skradzione i użyte do podpisania złośliwego oprogramowania, i krajów, z których pochodziły doniesienia o detekcjach – można powiedzieć, że przez złośliwe oprogramowanie Winnti w pewnym momencie było zainfekowanych co najmniej 35 firm.

Kraje, w których zlokalizowane są poszkodowane firmy:

AzjaEuropaAmeryka PołudniowaAmeryka Północna
Wietnam Białoruś Brazylia Stany Zjednoczone
Indie Niemcy Peru
Indonezja Rosja
Chiny
Tajwan
Tajlandia
Filipiny
Korea Południowa
Japonia

Te dane pokazują, że grupa Winnti kieruje ataki na przedsiębiorstwa produkujące gry, zlokalizowane w różnych częściach świata, z silnym naciskiem na obszar Azji Południowo-Wschodniej.

klp_winnti_ofiary_auto.png
Kraje, w których zaatakowane zostały firmy produkujące gry komputerowe

Takie zróżnicowanie geograficzne w ogóle nie dziwi. Często firmy z branży gier wideo (zarówno wydawcy, jak i deweloperzy) to międzynarodowe spółki, posiadające przedstawicieli i biura na całym świecie. Ponadto, współpraca firm z różnych regionów świata jest powszechną praktyką w tej branży. Twórcy gry mogą znajdować się w zupełnie innym kraju, niż wydawcy produktu. Gdy, wcześniej czy później, gra zdobędzie nabywców na rynkach w regionach z dala od swojego rynku „macierzystego”, jest zazwyczaj lokalizowana i wydawana przez innych wydawców. W ramach tej współpracy spółki partnerskie często przyznają sobie wzajemnie dostęp do zasobów sieciowych w celu wymiany danych związanych z zawartością gier, z uwzględnieniem zestawów dystrybucyjnych, zasobów do tworzenia gry, zestawów do montażu zasobów itd. Jeśli jedna firma w sieci zostanie zainfekowana, cyberprzestępcy łatwo mogą rozprzestrzeniać infekcję w całym łańcuchu partnerskim.

Struktura centrum kontroli Winnti

Podczas dochodzenia zidentyfikowaliśmy ponad sto szkodliwych programów, z których każdy został skompilowany do ataku na konkretną firmę. Zazwyczaj, oddzielne domeny C&C były przypisywane do każdej firmy znajdującej się na celowniku cyberprzestępców. Praktycznie wszystkie domeny C&C zostały rozmieszczone jako domeny drugiego poziomu tworzone bez rekordu DNS A, tzn. bez przypisanego adresu IP. W przypadku, gdy obecny był rekord A, przypisanym adresem IP był zazwyczaj adres 127.0.0.1. Warto również zauważyć, że niektóre z domen drugiego poziomu, które cyberprzestępcy tworzyli dla swojego centrum kontroli, były bardzo podobne z nazw do domen hostujących witryny poszczególnych producentów gier; co więcej, nazwy złośliwych domen rozwiązywały się na takie same adresy IP, co adresy, których używały witryny rzeczywistych firm z branży gier komputerowych. W każdym przypadku domeny trzeciego poziomu rozwiązywały się do adresów IP przypisanych do aktualnych złośliwych serwerów C&C.


Nazewnictwo i rozwiązania domen C&C

Czasami grupa Winnti rejestrowała swoje serwery C&C jako hosty publiczne. Sądząc po zidentyfikowanych próbkach, te centra C&C były subdomenami domen, takich jak: 6600.org, 8866.org, 9966.org lub ddns.net. Z nazw domen lub sub domen C&C można wywnioskować cele ataku lub kraje zamieszkania ofiar, jak w przypadku:

ru.gcgame.info
kr.zzsoft.info
jp.xxoo.co
us.nhntech.com
fs.nhntech.com
as.cjinternet.us

Sub domeny „ru”, „kr”, „jp” i „us” najprawdopodobniej oznaczają, że te serwery C&C zarządzały botami hostowanymi na komputerach firm zlokalizowanych odpowiednio w Rosji, Korei Południowej, Japonii i Stanach Zjednoczonych, podczas, gdy symbole „fs” i „as” są skrótami nazw atakowanych firm.

Niekiedy szkodliwe programy Winnti miały lokalny adres IP, jak np. 192.168.1.136, zdefiniowany w swoich ustawieniach dla serwera C&C. Może to oznaczać, że w pewnym momencie kampanii istniał zainfekowany komputer, który nie posiadał aktywnego połączenia z internetem, ale cyberprzestępcom bardzo zależało na kontrolowaniu tego komputera (mógł on zostać zainfekowany w momencie rozprzestrzeniania szkodliwego oprogramowania za pośrednictwem sieci korporacyjnej). W tym przypadku cyberprzestępcy wdrożyli dedykowany lokalny serwer C&C na innym skompromitowanym komputerze w tej samej sieci, który posiadał połączenie z internetem, i za pomocą tego komputera C&C kontrolowali komputer pierwszej ofiary. Administratorzy systemu często próbują izolować krytyczne komputery od świata zewnętrznego. To zmniejsza prawdopodobieństwo przypadkowej infekcji, ale jak widać, nie zawsze pomaga w zapobieganiu atakowi ukierunkowanemu.

W wykrytych i analizowanych próbkach Winnti znaleźliśmy 36 unikalnych domen C&C. Najprawdopodobniej jest to tylko niewielka część wszystkich istniejących domen C&C Winnti, ponieważ udało nam się pozyskać tylko niektóre próbki z tej rodziny złośliwych programów. Nie jest to zaskakujące, ponieważ te szkodliwe programy są wykorzystywane do wykonywania ataków ukierunkowanych, więc zazwyczaj nie są dostępne żadne informacje o wielu przypadkach zakażenia; z tego powodu nie mamy możliwości uzyskania próbek szkodliwego oprogramowania użytego w tych nieujawnionych atakach.

Nazwy domen używanych w atakach, które wykryliśmy:
newpic.dyndns.tv lp.zzsoft.info ru.gcgame.info
update.ddns.net lp.gasoft.us kr.jcrsoft.com
nd.jcrsoft.com eya.jcrsoft.com wm.ibm-support.net
cc.nexoncorp.us ftpd.9966.org fs.nhntech.com
kr.zzsoft.info kr.xxoo.co docs.nhnclass.com
as.cjinternet.us wi.gcgame.info rh.jcrsoft.com
ca.zzsoft.info tcp.nhntech.com wm.nhntech.com
sn.jcrsoft.com ka.jcrsoft.com wm.myxxoo.com
lp.apanku.com my.zzsoft.info ka.zzsoft.info
sshd.8866.org jp.jcrsoft.com ad.jcrsoft.com
ftpd.6600.org su.cjinternet.us my.gasoft.us
tcpiah.googleclick.net vn.gcgame.info  
rss.6600.org ap.nhntech.com  

Znając domeny drugiego poziomu używane przez Winnti, sforsowaliśmy sub domeny trzeciego poziomu, posiadające w nazwie do czterech symboli i zidentyfikowaliśmy te domeny, które posiadały przypisane adresy IP rzeczywistych serwerów. Po przeszukaniu sub domen dwunastu domen drugiego poziomu, zidentyfikowaliśmy 227 „żywych” domen trzeciego poziomu. Wiele z nich jest serwerami C&C dla szkodliwego oprogramowania z rodziny Winnti, które do tej pory pozostaje niezidentyfikowane. Analizując dane WHOIS dla 12 domen drugiego poziomu, natrafiliśmy na następującą listę adresów e-mail użytych podczas rejestracji:

evilsex@gmail.com
jslee.jcr@gmail.com
whoismydns@gmail.com
googl3@live.com
wzcc@cnkker.com
apanku2009@gmail.com

Dla niektórych domen, dane rejestracyjne okazały się być takie same, jak dla domeny „google.com”:
Osoba rejestrująca: Google Inc. 
1600 Amphitheatre Parkwa
Mountain Vie, California 94043
United States
+1.6503300100

Wnioskując z danych rejestracyjnych domen, grupa Winnti rozpoczęła swój kryminalny proceder już przynajmniej w roku 2007. Wczesne domeny grupy były zaangażowane w rozprzestrzenianie fałszywych programów antywirusowych. Poczynając od roku 2009, domeny zaczęły przeobrażać się w hosty serwerów C&C dla botów wykorzystywanych do infekowania firm z branży gier komputerowych. Najwyraźniej, począwszy od 2010 r., cyberprzestępcy zaczęli na dużą skalę przenikać w struktury stosunkowo dużych sieci korporacyjnych.

Znane szkodliwe oprogramowanie

Ulubionym narzędziem agresorów jest złośliwy program, który nazwaliśmy „Winnti”. Szkodnik znacznie ewoluował od momentu pierwszego użycia, ale ogólnie jego wszystkie warianty mogą zostać podzielone na dwie generacje: 1.x oraz 2.x. Nasze publikacje omawiają obie generacje wykrytego zagrożenia. Drugą generację (2.x) szkodników Winnti zastosowano w jednym z ataków, który badaliśmy podczas jego aktywnej fazy, pomagając ofiarom przerwać proces wyprowadzania danych na zewnątrz i odizolować zainfekowane urządzenia od reszty sieci korporacyjnej. Opisy incydentów, jak również szczegółowe wyniki naszego dochodzenia w sprawie poczynań grupy Winnti, są dostępne do pobrania jako dokument PDF (treść tylko w języku angielskim). Wkrótce w osobnym raporcie opublikujemy obszerną analizę pierwszej generacji (1.x) wariantów szkodnika Winnti. W atakach zaobserwowaliśmy również wykorzystanie popularnego backdoora, znanego jako PlugX, któremu przypisuje się chińskie pochodzenie. Wcześniej ten backdoor był używany jedynie w atakach na aktywistów tybetańskich.

Komercyjny interes

Jak zostało powiedziane wcześniej, ataki APT mogą zostać skierowane na dowolną firmę, jeżeli tylko cyberprzestępcy znajdą sposób, aby z takich ataków czerpać zysk. Więc, jakich metod używają cyberprzestępcy do generowania nielegalnych przychodów z ataków na przedsiębiorstwa produkujące gry wideo? Zidentyfikowaliśmy trzy główne systemy zarabiania pieniędzy, które mogą być wykorzystywane przez grupę Winnti do generowania nielegalnego przychodu. Schematy te obejmują:

  1. Manipulowanie gromadzeniem waluty wewnątrz gier („runy”, „złoto” itp.), która jest wykorzystywana przez graczy do zamiany dóbr wirtualnych na prawdziwe pieniądze.
  2. Używanie kodu źródłowego skradzionego z serwerów gier internetowych do wyszukiwania luk w zabezpieczeniach wewnątrz gier w celu zwiększenia przychodów wirtualnej waluty i jej akumulacji bez wywoływania żadnych podejrzeń.
  3. Używanie kodu źródłowego skradzionego z serwerów popularnych gier online do wdrażania własnych pirackich serwerów.

Spójrzmy na poniższy przykład. W trakcie naszego badania infekcji w firmie produkującej gry komputerowe okazało się, że złośliwe oprogramowanie zostało stworzone dla określonej usługi na serwerze firmy. Złośliwy program szukał zdefiniowanego procesu uruchomionego na serwerze, wstrzykiwał weń złośliwy kod, a następnie szukał dwóch miejsc w kodzie procesu, w których mógł ukryć rozkazy wywołań swoich funkcji przechwytujących. Używając tych funkcji złośliwe programy modyfikowały dane procesu, które były przetwarzane w dwóch znalezionych miejscach, a następnie zwracały kontrolę procesowi głównemu. W ten sposób napastnicy modyfikowali wykonywanie normalnych procesów serwerowych. Niestety, firma produkująca grę nie była w stanie udostępnić nam modyfikowanej aplikacji i nie możemy powiedzieć dokładnie, jak ten szkodliwy wpływ zakłócał procesy wewnątrz samej gry. Firma wyjawiła nam, że celem napastników było nielegalne pozyskiwanie „złota” w grze.

Szkodliwe działania mają negatywny wpływ na samą grę, przechylając szalę zdrowej rywalizacji na korzyść oszustw. Jednakże, wszelkie zmiany schematu rozgrywki wprowadzane przez grupę Winnti najprawdopodobniej były bardzo mało zauważalne przez samych graczy. Przecież umiejętne utrzymywanie równowagi jest głównym atrybutem „prowadzenia” gier online. Użytkownicy po prostu przestają grać, jeśli czują, że inni gracze używają niestandardowych metod generowania korzyści, innych niż te płynące z normalnej gry lub jeśli gra traci swą wewnętrzną konkurencyjność ze względu na zasoby lub artefakty pojawiające się w grze bez wiedzy deweloperów. Jednocześnie atakujący modlą się, aby gra nie traciła na popularności; w przeciwnym razie nie będą w stanie skutecznie przekuć w finansowy zysk całego czasu i wysiłku poświęconego na zainfekowanie firmy produkującej daną grę. Członkowie grupy Winnti są cierpliwi i ostrożni. Cyberprzestępcy ci od lat kradną pieniądze i wpływają na procesy gier online, działając wewnątrz zainfekowanych firm, i wciąż robią to bez zwracania na siebie uwagi.

Źródło ataków

Więc, kto stoi za Winnti? Analizując szkodliwe pliki, które wykryliśmy w czasie naszego śledztwa, odkryliśmy kilka szczegółów, które mogą rzucić nieco światła na źródło ataków. W trakcie naszego śledztwa dokładnie monitorowaliśmy działania cyberprzestępców wykonywane na zainfekowanych komputerach. W szczególności, pobierali oni pomocniczy program ff._exe do folderu Config.Msi znajdującego się na zainfekowanej maszynie. Kod tej aplikacji miał za zadanie wyszukiwać na dysku twardym ofiary dokumenty aplikacji MS Word, Adobe Reader, MS Works, pliki HTML, arkusze MS Excel, prezentacje PowerPoint i pliki tekstowe (*.txt). W pliku ff._exe odkryliśmy wiersze debugowania, które prawdopodobnie wskazują na narodowość cyberprzestępców. Wiersze te nie były natychmiast zauważalne, ponieważ w edytorze wyglądały następująco:

Jednakże, podczas szczegółowej analizy okazało się, że tekst ten jest kodowany w chińskim uproszczonym schemacie kodowania GBK. Oto jak wygląda tekst w języku chińskim:

Poniżej znajduje się mechaniczne tłumaczenie na język angielski (w nawiasach podajemy tłumaczenie na język polski):

Not identify the type of file system (Nie zidentyfikowano typu systemu plików)
Below is a translation of the text by interpreter (Poniżej tłumaczenie tekstu przez tłumacza)
Open the volume failed (Nie powiodło się otwarcie woluminu)
Failed to get the file system type (Nie powiodło się pobranie typu systemu plików)
Failed to read volume (Nie powiódł się odczyt woluminu)
Volumes do not open or open failed (Woluminy niemożliwe do otwarcia lub otwarcie nie powiodło się)
Navigate to the root directory of the error (Przejdź do katalogu głównego błędu)
Error memory read pointer (Błąd wskaźnika odczytu pamięci)
Memory is too small (Rozmiar pamięci jest za mały)
File does not exist (Plik nie istnieje)
Failed to get the file mft index sector (Nie powiodło się pobranie indeksu sektora MFT)
Access to file data fail (Błąd dostępu do danych pliku)
Volume and open volumes are not the same (Wolumin i otwierane woluminy nie są takie same)
The same volume and open volume (Ten sam wolumin i otwierany wolumin)

Dodatkowo, do tworzenia złośliwych bibliotek cyberprzestępcy używali programu AheadLib. Program ten posiada interfejs w języku chińskim. Chiński tekst został również znaleziony w jednym ze składników wtyczki do złośliwego programu CmdPlus.dll:


Tłumaczenie: Proces się zakończył!!

Wygląda na to, że napastnicy co najmniej potrafią porozumiewać się w języku chińskim. Jednak, nie wszystko jest tak jednoznaczne: ponieważ wtyczka transferu plików nie została zaimplementowana całkowicie bezpiecznie, polecenie, które obejmuje lokalną ścieżkę dostępu do lokalizacji napastników (miejsce, z którego przychodzą pliki i do którego są przesyłane) przybywa podczas pobierania / wysyłania plików z zainfekowanego systemu. Podczas monitorowania aktywności cyberprzestępców na zainfekowanej maszynie, zauważyliśmy, że załadowali oni certyfikat, który znaleźli w zainfekowanym systemie, a ruch sieciowy natychmiast odzwierciedlił ścieżkę lokalną wskazującą miejsce, w którym plik został zapisany na komputerze napastników:

Te znaki to napis w języku koreańskim, który oznacza „pulpit”. Wskazuje to na pracę napastników na koreańskim systemie Windows. Dlatego możemy przypuszczać, że omawiany atak nie jest dziełem cyberprzestępców posługujących się wyłącznie językiem chińskim.

Wnioski

Nasze badania ujawniły długoterminową, ukierunkowaną, zakrojoną na dużą skalę kampanię cyberszpiegowską, prowadzoną przez grupę przestępczą o chińskich korzeniach. Wykryte ataki nie są nowe, wielu innych badaczy bezpieczeństwa opublikowało informacje o różnych grupach cyberprzestępczych pochodzących z Chin. Jednakże, grupa hakerów „Winnti” ma kilka szczególnych cech, które sprawiają, że wyróżnia się ona na tle innych gangów cybeprzestępczych:

  • masowe nadużywanie podpisów cyfrowych – napastnicy używali podpisów jednej firmy, aby atakować inne firmy i kraść jeszcze więcej certyfikatów cyfrowych;
  • używanie podpisanego, 64-bitowego rootkita, operującego na poziomie jądra;
  • nadużywanie wielu różnych publicznych zasobów internetowych do przechowywania w postaci zaszyfrowanej poleceń sterujących dla złośliwego oprogramowania;
  • udostępnianie / sprzedawanie skradzionych certyfikatów innym grupom, które miały inne cele (ataki na Ujgurów i działaczy tybetańskich);
  • kradzież kodów źródłowych i innych własności intelektualnych twórców oprogramowania z branży gier online.

Ulubionym narzędziem agresorów jest złośliwy program, który nazwaliśmy „Winnti”. Szkodnik znacznie ewoluował od momentu pierwszego użycia, ale ogólnie jego wszystkie warianty mogą zostać podzielone na dwie generacje: 1.x oraz 2.x. Nasze publikacje omawiają obie generacje wykrytego zagrożenia. W niedługim czasie opublikujemy szczegółową analizę wariantów generacji 1.x szkodnika Winnti. Drugą generację (2.x) wariantów szkodnika Winnti zastosowano w jednym z ataków, który badaliśmy podczas jego aktywnej fazy, pomagając ofiarom przerwać proces wyprowadzania danych na zewnątrz i odizolować zainfekowane urządzenia od reszty sieci korporacyjnej. Opisy incydentów, jak również szczegółowe wyniki naszego dochodzenia w sprawie poczynań grupy Winnti, są dostępne do pobrania jako dokument PDF (treść tylko w języku angielskim). W atakach zaobserwowaliśmy również wykorzystanie popularnego backdoora, znanego jako PlugX, któremu przypisuje się chińskie pochodzenie. Wcześniej ten backdoor był używany jedynie w atakach na aktywistów tybetańskich.