Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Cloud Atlas: kampania Red October wraca w wielkim stylu

Tagi:

Dwa lata temu opublikowaliśmy nasze badanie dotyczące Red October – złożonej operacji cyberszpiegowskiej, której celem stały się ambasady dyplomatyczne na całym świecie. Nadaliśmy jej nazwę RedOctober, ponieważ dochodzenie rozpoczęliśmy w październiku 2012 roku, niezwykle gorącym miesiącu.  

Po naszej publikacji w styczniu 2013 roku operacja Red October została wkrótce zamknięta, a sieć serwerów kontroli (C&C) – zdemontowana. Jednak w przypadku tak dużych operacji, biorąc pod uwagę ogromną inwestycję i ilość wykorzystanych zasobów, nigdy nie można powiedzieć, że udało się je wyeliminować raz na zawsze. Zwykle stojąca za nimi grupa przechodzi na kilka miesięcy do tzw. podziemia, zmieniając swoje narzędzia i szkodliwe oprogramowanie, a następnie wznawia operacje.          

Zobacz również:

Od stycznia 2013 roku byliśmy przygotowani na możliwy powrót operacji Red October. Nietypowe szkodliwe oprogramowanie o nazwie Mevade, które pojawiło się pod koniec 2013 roku, mogło być takim uderzeniem. Konwencja nazw serwerów C&C szkodnika Mevade jak również inne podobieństwa techniczne wskazywały na jego powiązanie z operacją Red October, jednak trop ten był słaby. Dopiero w sierpniu 2014 roku zauważyliśmy coś, co kazało na zastanowić się, czy Red October nie wrócił na dobre. 

Przedstawiamy Cloud Atlas

W sierpniu 2014 roku niektórzy z naszych użytkowników zaobserwowali ataki ukierunkowane przy użyciu odmiany luki CVE-2012-0158 oraz nietypowego zestawu szkodliwego oprogramowania. Szybka analiza wykazała, że szkodnik ten wyróżnia się ze względu na kilka niezwykłych szczegółów, które nie są powszechne w świecie ataków APT. 

Poniżej przedstawiamy niektóre nazwy plików wykorzystanych w atakach:

  • FT - Ukraine Russia's new art of war.doc
  • Катастрофа малайзийского лайнера.doc
  • Diplomatic Car for Sale.doc
  • МВКСИ.doc
  • Organigrama Gobierno Rusia.doc
  • Фото.doc
  • Информационное письмо.doc
  • Форма заявки (25-26.09.14).doc
  • Информационное письмо.doc
  • Письмо_Руководителям.doc
  • Прилож.doc
  • Car for sale.doc
  • Af-Pak and Central Asia's security issues.doc

Jeden z nich od razu nasunął nam na myśl Red October, który wykorzystywał plik o bardzo podobnej nazwie "Diplomatic Car for Sale.doc". Gdy zaczęliśmy kopać głębiej, na jaw wyszło więcej szczegółów, które potwierdzały tę teorię.  

Być może najbardziej niezwykłe było to, że exploit dla Microsoft Office nie zapisywał bezpośrednio na dysku backdoora dla Windows PE. Zamiast tego zapisywał zaszyfrowany skrypt Visual Basic i uruchamiał go.

Cloud_Atlas_1_auto.jpg 

Szkodliwa funkcja exploita dla Cloud Atlas - VBScript

VBScript wrzuca na dysk parę plików – moduł ładujący oraz zaszyfrowaną szkodliwą funkcję. Moduł ładujący wydaje się być za każdym razem inny, a ciągi wewnętrzne wskazują na to, że został on wygenerowany “polimorficznie”. Szkodliwa funkcja jest zawsze zaszyfrowana przy użyciu unikatowego klucza, co sprawia, że jej zdeszyfrowanie nie jest możliwe bez dostępu do biblioteki DLL.   

Zaobserwowaliśmy kilka różnych dokumentów charakterystycznych dla ataków spear-phishing, które dostarczają szkodliwe funkcje o unikatowych nazwach. Na przykład MD5 pliku "qPd0aKJu.vbs":  

E211C2BAD9A83A6A4247EC3959E2A730 dostarcza następujące pliki:

DECF56296C50BD3AE10A49747573A346 - bicorporate – zaszyfrowana szkodliwa funkcja
D171DB37EF28F42740644F4028BCF727 - ctfmonrn.dll – moduł ładujący

VBS dodaje również klucz rejestru:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ ustawiając klucz "bookstore" na wartość "regsvr32 %path%\ctfmonrn.dll /s", co zapewnia każdorazowe uruchomienie szkodliwego oprogramowania wraz ze startem systemu.  

Niektóre z zidentyfikowanych przez nas nazw bibliotek DLL to:

f4e15c1c2c95c651423dbb4cbe6c8fd5 - bicorporate.dll
649ff144aea6796679f8f9a1e9f51479 - fundamentive.dll
40e70f7f5d9cb1a669f8d8f306113485 - papersaving.dll
58db8f33a9cdd321d9525d1e68c06456 - previliges.dll
f5476728deb53fe2fa98e6a33577a9da - steinheimman.dll

Niektóre z nazw funkcji szkodliwych to:

steinheimman
papersaving
previliges
fundamentive
bicorporate
miditiming
damnatorily
munnopsis
arzner
redtailed
roodgoose
acholias
salefians
wartworts
frequencyuse
nonmagyar
shebir
getgoing

Szkodliwa funkcja zawiera zaszyfrowany blok konfiguracyjny, w którym znajdują się informacje dotyczące serwera kontroli (C&C):

 Cloud_Atlas_2_auto.jpg

Informacje z bloku konfiguracyjnego obejmują URL WebDAV, który jest wykorzystywany do połączeń, nazwę użytkownika i hasło, dwa foldery na serwerze WebDAV wykorzystywane do przechowywania wtyczek/modułów dla szkodliwego oprogramowania, w których powinny zostać umieszczone dane ofiary. 

Komunikacja C&C

Implanty Cloud Atlas wykorzystują raczej nietypowy mechanizm kontroli (C&C). Wszystkie próbki szkodliwego oprogramowania, jakie widzieliśmy, komunikują się za pośrednictwem HTTPS i WebDav z tym samym serwerem "cloudme.com" – dostawcą usług opartych na chmurze. Z informacji podanych na jego stronie internetowej wynika, że właścicielem i operatorem CloudMe jest CloudMe AB, firma z siedzibą w Linköping, w Szwecji.    

(Ważna informacja: nie sądzimy, aby CloudMe był w jakikolwiek sposób powiązany z grupą Cloud Atlas – osoby atakujące po prostu zakładają darmowe konta u tego dostawcy i wykorzystują je do kontrolowania swoich operacji).

Cloud_Atlas_3_auto.jpg 

Każdy ze zidentyfikowanych przez nas zestawów szkodliwego oprogramowania komunikuje się z innym kontem CloudMe. Osoby atakujące wrzucają na konto dane, które są pobierane przez implant, deszyfrowane i interpretowane. Z kolei szkodliwe oprogramowanie za pośrednictwem tego samego mechanizmu wrzuca odpowiedzi na serwer. Naturalnie powinna istnieć możliwość przekonfigurowania szkodliwego oprogramowania, tak aby wykorzystywało dowolną opartą na chmurze usługę magazynowania, która obsługuje WebDAV.

Tak wygląda jedno z kont na CloudMe:

 Cloud_Atlas_4.jpg

Dane z konta:

 Cloud_Atlas_5_auto.jpg

Pliki przechowywane w folderze o losowej nazwie zostały zamieszczone przez szkodliwe oprogramowanie i zawierają różne dane, takie jak informacje o systemie, uruchomionych procesach i aktualnej nazwie użytkownika. Dane zostały skompresowane przy użyciu LZMA i zaszyfrowane za pomocą AES, jednak klucze są przechowywane w ciele szkodliwego oprogramowania, co pozwala zdeszyfrować informacje z serwera kontroli.

Wcześniej podobną metodę stosowała tylko jedna grupa – ItaDuke – która łączyła się z kontami dostawcy usług opartych na chmurze mydrive.ch.

Statystyki dotyczące ofiar: 5 najbardziej zainfekowanych państw

CloudAtlas

Red October

Rosja

15

35

Kazachstan

14

21

Białoruś

4

5

Indie

2

14

Republika Czeska

2

5

 

Podobieństwa z Red October

Podobnie jak w przypadku operacji RedOctober, głównym celem Cloud Atlas jest Rosja, na drugim miejscu znajduje się natomiast Kazachstan – tak wynika z danych pochodzących z Kaspersky Security Network (KSN). W rzeczywistości cele w tych dwóch państwach częściowo pokrywają się, niewielkie różnice odzwierciedlają zmiany geopolityczne w regionie, które zaszły w ciągu ostatnich dwóch lat.  

Co ciekawe, niektóre dokumenty spear-phishingowe występujące w kampaniach Cloud Atlas i Red October wydają się wykorzystywać ten sam temat, a ich celem był w różnym czasie ten sam podmiot. 

Cloud Atlas:

Cloud_Atlas_6_auto.jpg

Red October:

Cloud_Atlas_7.jpg

Implanty szkodliwego oprogramowania w kampaniach Cloud Atlas i Red October opierają się na podobnym schemacie – module ładującym i docelowej funkcji szkodliwej przechowywanej w postaci zaszyfrowanej i skompresowanej w pliku zewnętrznym. Istnieje jednak kilka istotnych różnic, zwłaszcza w wykorzystywanych algorytmach szyfrowania - RC4 w RedOctober i AES w Cloud Atlas.   

Innym interesującym podobieństwem jest wykorzystywanie algorytmów kompresji w operacjach Cloud Altas i Red October. Oba szkodliwe programy mają kod dla algorytmu kompresji LZMA. W operacji ClaudAtlas jest on wykorzystywany do kompresji dzienników i dekompresji zaszyfrowanej funkcji szkodliwej z serwerów kontroli, podczas gdy w operacji Red October wtyczka "scheduler" wykorzystuje go do dekompresji szkodliwych funkcji z serwera kontroli.   

Okazuje się, że implementacja algorytmu jest identyczna w obu szkodliwych modułach, jednak sposób jej wywoływania różni się nieco, ponieważ do wersji Cloud Atlas dodano dodatkową kontrolę poprawności danych wejściowych.

Cloud_Atlas_8_auto.jpg 

Innym ciekawym podobieństwem pomiędzy tymi rodzinami szkodliwego oprogramowania jest konfiguracja systemu kompilacji wykorzystywanego do kompilowania binariów. Każda paczka binarna stworzona przy użyciu narzędzi Microsoft Visual Studio posiada specjalny nagłówek, który zawiera informacje o liczbie wejściowych plików obiektu oraz informacje o wersjach kompilatorów użytych do ich stworzenia. Nagłówek "Rich" został tak nazwany ze względu na magiczny ciąg wykorzystywany do zidentyfikowania go w pliku.

Zdołaliśmy zidentyfikować kilka binariów kampanii Red October, które posiadają nagłówki "Rich" określając dokładnie taki sam układ VC 2010 + pliki obiektowe VC 2008. Chociaż nie musi to oznaczać, że binaria te zostały stworzone na tym samym komputerze, z pewnością zostały skompilowane przy użyciu tej samej wersji Microsoft Visual Studio oraz przy użyciu podobnej konfiguracji projektu.     

Liczba plików obiektu, moduł ładujący CloudAtlas

Liczba plików obiektu, wtyczka Red October Office

Liczba plików obiektu, wtyczka Red October Fileputexec

Wersja kompilatora HEX

Zdekodowana wersja kompilatora

01

01

01

009D766F

VC 2010 (kompilacja 30319)

01

01

01

009B766F

VC 2010 (kompilacja 30319)

22

2E

60

00AB766F

VC 2010 (kompilacja 30319)

5B

60

A3

00010000

05

07

11

00937809

VC 2008 (kompilacja 30729)

72

5C

AD

00AA766F

VC 2010 (kompilacja 30319)

20

10

18

009E766F

VC 2010 (kompilacja 30319)

Podsumowując podobieństwa między tymi dwoma operacjami:

Cloud Atlas

Red October

Marker Shellcode w dokumentach będących częścią ataku spear-phishing

PT@T

PT@T

Główne atakowane państwo

Rosja

Rosja

Algorytm kompresji wykorzystywany do komunikacji C&C

LZMA

LZMA

Serwery C&C podszywają się pod/przekierowują do

BBC (mobilne szkodliwe oprogramowanie)

BBC

Wersja kompilatora

VC 2010 (kompilacja 30319)

VC 2010 (kompilacja 30319) (niektóre moduły)

 

Najmocniejszym ogniwem łączącym opisywane operacje są prawdopodobnie ich cele. Z danych pochodzących z KSN wynika, że niektóre z ofiar kampanii Red October są również ofiarami Cloud Atlas. W co najmniej jednym przypadku komputer ofiary został zaatakowany w ciągu ostatnich dwóch lat tylko dwa razy i to przy użyciu tylko dwóch szkodliwych programów - Red October i Cloud Atlas.       

Te i inne szczegóły pozwalają nam sądzić, że CloudAtlas to odrodzenie kampanii Red October.

Zakończenie

Po publicznym zdemaskowaniu kampanii ataków ukierunkowanych grupy APT zachowują się w przewidywalny sposób. Większość chińskojęzycznych atakujących po prostu przenosi serwery C&C w inne miejsce, przekompilowuje szkodliwe oprogramowanie i dalej prowadzi swoje kampanie.

Inne grupy, bardziej zaniepokojone zdemaskowaniem, ulegają „hibernacji” na całe miesiące lub lata. Niektóre nigdy nie wracają i nie używają tych samych narzędzi czy technik.

Gdy jednak zostanie zdemaskowana większa operacja cyberszpiegowska, atakujący prawdopodobnie nie zamkną wszystkiego całkowicie. Na pewien czas znikną z Sieci, aby całkowicie zmienić swoje narzędzia i powrócić z odnowionymi siłami.   

Uważamy, że tak było również w przypadku kampanii Red October, która powróciła z klasą pod postacią operacji Cloud Atlas.

Produkty firmy Kaspersky Lab wykrywają szkodliwe oprogramowanie z zestawu narzędzi Cloud Atlas przy użyciu następujących werdyktów:  

Exploit.Win32.CVE-2012-0158.j
Exploit.Win32.CVE-2012-0158.eu
Exploit.Win32.CVE-2012-0158.aw
Exploit.MSWord.CVE-2012-0158.ea
HEUR:Trojan.Win32.CloudAtlas.gen
HEUR:Trojan.Win32.Generic
HEUR:Trojan.Script.Generic
Trojan-Spy.Win32.Agent.ctda
Trojan-Spy.Win32.Agent.cteq
Trojan-Spy.Win32.Agent.ctgm
Trojan-Spy.Win32.Agent.ctfh
Trojan-Spy.Win32.Agent.cter
Trojan-Spy.Win32.Agent.ctfk
Trojan-Spy.Win32.Agent.ctfj
Trojan-Spy.Win32.Agent.crtk
Trojan-Spy.Win32.Agent.ctcz
Trojan-Spy.Win32.Agent.cqyc
Trojan-Spy.Win32.Agent.ctfg
Trojan-Spy.Win32.Agent.ctfi
Trojan-Spy.Win32.Agent.cquy
Trojan-Spy.Win32.Agent.ctew
Trojan-Spy.Win32.Agent.ctdg
Trojan-Spy.Win32.Agent.ctlf
Trojan-Spy.Win32.Agent.ctpz
Trojan-Spy.Win32.Agent.ctdq
Trojan-Spy.Win32.Agent.ctgm
Trojan-Spy.Win32.Agent.ctin
Trojan-Spy.Win32.Agent.ctlg
Trojan-Spy.Win32.Agent.ctpd
Trojan-Spy.Win32.Agent.ctps
Trojan-Spy.Win32.Agent.ctpq
Trojan-Spy.Win32.Agent.ctpy
Trojan-Spy.Win32.Agent.ctie
Trojan-Spy.Win32.Agent.ctcz
Trojan-Spy.Win32.Agent.ctgz
Trojan-Spy.Win32.Agent.ctpr
Trojan-Spy.Win32.Agent.ctdp
Trojan-Spy.Win32.Agent.ctdr
Trojan.Win32.Agent.idso
Trojan.Win32.Agent.idrx
HEUR:Trojan.Linux.Cloudatlas.a
Trojan.AndroidOS.Cloudatlas.a
Trojan.IphoneOS.Cloudatlas.a