Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Grupa APT Naikon

Tagi:

Jeden z naszych ostatnich raportów pt. „Kroniki Hellsinga: Imperium kontratakuje” rozpoczął się od przedstawienia ugrupowania APT Naikon, określając je jako „jedną z najaktywniejszych grup APT w Azji, zwłaszcza wokół Morza Południowochińskiego”. Naikon został wspomniany ze względu na jego rolę w nietypowej i zaskakującej historii o rewanżu. Na ugrupowanie APT Hellsing po raz pierwszy natknęliśmy się w związku z atakiem Naikon na organizację powiązaną z Hellsingiem. Biorąc pod uwagę poziom zaobserwowanej aktywności grupy Naikon oraz jej nieustające, powtarzające się próby ataków, stwierdziliśmy, że warto przyjrzeć się bliżej tej konfrontacji, co też zrobiliśmy.        

Ugrupowanie APT Naikon współdziała z grupą, którą nasi koledzy z FireEye zidentyfikowali niedawno jako APT30. My jednak nie wykryliśmy żadnych ścisłych związków. Zbieżność między tymi grupami nie jest zaskoczeniem, zważywszy na to, że obie przez lata monitorowały ofiary w rejonie Morza Południowochińskiego, najwidoczniej w poszukiwaniu geopolitycznych danych wywiadowczych.   

Raport dotyczący ugrupowania Naikon zostanie uzupełniony o kolejny raport badający grupę TTP Naikon oraz intensywną aktywność związaną z atakami wokół Morza Południowochińskiego, która trwała od co najmniej 2010 r.

Istotne operacyjne i logistyczne cechy charakterystyczne tej grupy APT:

  • Co najmniej pięć lat intensywnej, publicznej aktywności związanej z atakami geopolitycznymi.
  • Orientacja geograficzna – według państwa, wyznaczanie określonego operatora oraz istnienie serwera proxy.
  • Dynamiczna, dobrze zorganizowana infrastruktura.
  • Wykorzystywanie stworzonego na zewnątrz, rozbudowanego zestawu narzędzi składających się na w pełni funkcjonalnego backdoora, oraz konstruktora exploitów.
  • Wysoki współczynnik skuteczności infiltrowania organizacji narodowych w krajach rejonu Azja Pacyfik.

Wysoce skuteczna i skoncentrowana wokół Morza Południowochińskiego operacja APT

Wiosną 2014 r. odnotowaliśmy wzrost intensywności ataków przeprowadzanych przez ugrupowanie APT Naikon. Osoby atakujące były chińskojęzyczne, a ich celami były głównie agencje rządowe najwyższego szczebla oraz organizacje cywilne i wojskowe w takich krajach jak Filipiny, Malezja, Kambodża, Indonezja, Wietnam, Birma, Singapur, Nepal, Tajlandia, Laos oraz Chiny. 

klp_naikon_ofiary_auto.jpg

Przynęta

Atak zwykle rozpoczyna się od wiadomości e-mail zawierającej załącznik, w którym znajdują się informacje mogące zainteresować potencjalną ofiarę. Dokument może opierać się na informacjach pochodzących z otwartych źródeł lub na poufnych informacjach skradzionych z innych zainfekowanych systemów.  

Ten dokument-przynęta, lub załącznik do wiadomości e-mail, przypomina dokument Worda, w rzeczywistości jednak jest to plik wykonywalny z podwójnym rozszerzeniem wykorzystujący lukę CVE-2012-0158, dzięki czemu wielu użytkowników może nieświadomie aktywować szkodliwy kod. Po uruchomieniu pliku wykonywalnego na komputerze ofiary zostaje zainstalowane oprogramowanie spyware, a użytkownikowi wyświetlany jest dokument-przynęta, przez co myśli on, że po prostu otworzył załącznik e-maila.      

Konfiguracja

Narzędzie Naikona generuje specjalny, niewielki, zaszyfrowany plik o rozmiarze 8 000 bajtów i zawiera niezależny od platformy kod, który ma zostać wstrzyknięty do przeglądarki wraz z danymi dotyczącymi konfiguracji. Z pomocą modułu rozruchowego cały plik jest wstrzykiwany do pamięci przeglądarki i deszyfruje blok konfiguracji, który zawiera informacje o: 

  • serwerze kontroli (C&C),
  • portach i ścieżce do serwera,
  • nazwach plików i ścieżkach komponentów,
  • sumach kontrolnych funkcji API użytkownika.

 Ten sam kod pobiera następnie swoje główne ciało z serwera kontroli (C&C) przy użyciu protokołu SSL, ładuje je niezależnie od funkcji systemu operacyjnego i - bez zapisywania na dysku twardym - przekazuje kontrolę do funkcji XS02. Cała funkcjonalność jest obsługiwana w pamięci.

naikon_2_auto.png

Szkodliwa funkcja

Główny moduł stanowi narzędzie zdalnej administracji. Przy użyciu protokołu SSL moduł ustanawia połączenie z serwerem kontroli (C&C) w następujący sposób: nawiązuje połączenie wychodzące z serwerem kontroli i sprawdza, czy istnieje polecenie, które powinien wykonać. Jeśli tak, wykonuje je i zwraca wynik do serwera kontroli. Repertuar modułu składa się z 48 poleceń, które zdalny operator może wykorzystać do skutecznego kontrolowania komputera ofiary. Obejmuje to przeprowadzanie pełnej inwentaryzacji, pobieranie i wrzucanie danych, instalowanie modułów dodatkowych lub pracę z poziomu wiersza poleceń.

Poniżej pełna lista poleceń:

0

CMD_MAIN_INFO

1

CMD_PROCESS_REFRESH

2

CMD_PROCESS_NAME

3

CMD_PROCESS_KILL

4

CMD_PROCESS_MODULE

5

CMD_DRIVE_REFRESH

6

CMD_DIRECTORY

7

CMD_DIRECTORY_CREATE

8

CMD_DIRECTORY_CREATE_HIDDEN

9

CMD_DIRECTORY_DELETE

10

CMD_DIRECTORY_RENAME

11

CMD_DIRECOTRY_DOWNLOAD

12

CMD_FILE_REFRESH

13

CMD_FILE_DELETE

14

CMD_FILE_RENAME

15

CMD_FILE_EXECUTE_NORMAL

16

CMD_FILE_EXECUTE_HIDDEN

17

CMD_FILE_EXECUTE_NORMAL_CMD

18

CMD_FILE_EXECUTE_HIDDEN_CMD

19

CMD_FILE_UPLOAD

20

CMD_FILE_DOWNLOAD

21

CMD_WINDOWS_INFO

22

CMD_WINDOWS_MESSAGE

23

CMD_SHELL_OPEN

24

CMD_SHELL_CLOSE

25

CMD_SHELL_WRITE

26

CMD_SERVICE_REFRESH

27

CMD_SERVICE_CONTROL

28

CMD_PROGRAM_INFO

29

CMD_UNINSTALL_PROGRAM

30

CMD_REGESTRY_INFO

31

CMD_ADD_AUTO_START

32

CMD_MY_PLUGIN

33

CMD_3RD_PLUGIN

34

CMD_REG_CREATEKEY

35

CMD_REG_DELETEKEY

36

CMD_REG_SETVALUE

37

CMD_REG_DELETEVALUE

38

CMD_SELF_KILL

39

CMD_SELF_RESTART

40

CMD_SELF_CONFIG

41

CMD_SELF_UPDATE

42

CMD_SERVER_INFO

43

CMD_INSTALL_SERVICE

44

CMD_FILE_DOWNLOAD2

45

CMD_RESET

46

CMD_CONNECTION_TABLE

47

 

48

 

49

CMD_HEART_BEAT

Istnieje kilka modyfikacji głównego modułu. Nie ma między nimi zasadniczych różnic – do najnowszych wersji zostają po prostu dodane dodatkowe funkcje, takie jak kompresowanie czy szyfrowanie przesyłanych danych lub stopniowe pobieranie dużych plików.

d085ba82824c1e61e93e113a705b8e9a

118272

23.08.2012, 18:46:57

b4a8dc9eb26e727eafb6c8477963829c

140800

20.05.2013, 11:56:38

172fd9cce78de38d8cbcad605e3d6675

118784

13.06.2013, 12:14:40

74a7e7a4de0da503472f1f051b68745

190464

19.08.2013, 05:30:12

93e84075bef7a11832d9c5aa70135dc6

154624

07.01.2014, 04:39:43

CC-Proxy-Op

Operacje serwera kontroli charakteryzują się:

  • niewielkimi wymaganiami dotyczącymi utrzymania,
  • zorganizowanym przydzielaniem zadań zależnym od lokalizacji geograficznej,
  • różnymi podejściami do komunikacji.

Serwery kontroli wymagały jedynie kilku operacji w celu zarządzania całą siecią. Każdy operator koncentrował się na określonej grupie celów, ponieważ pomiędzy serwerem kontroli a lokalizacją celów/ofiar istnieje korelacja. 

Komunikacja z systemami ofiar zmieniała się w zależności od celu. W niektórych przypadkach, pomiędzy komputerem ofiary a systemem operacyjnym nawiązywane było bezpośrednie połączenie. W innych przypadkach, połączenie było ustanawiane za pośrednictwem wyspecjalizowanych serwerów proxy zainstalowanych na serwerach wynajmowanych w niepowiązanych państwach. Ten dodatkowy zabieg stanowił prawdopodobnie reakcję na ograniczanie lub monitorowanie przez administratorów sieci połączeń wychodzących z ich organizacji.

Poniżej znajduje się lista serwerów kontroli oraz lokalizacji ofiar ukazująca korelację geograficzną:

ID

Jakarta

linda.googlenow.in

ID

Jakarta

admin0805.gnway.net

ID

Jakarta

free.googlenow.in

ID

 

frankhere.oicp.net

ID

Bandung

frankhere.oicp.net

ID

Bandung

telcom.dhtu.info

ID

Jakarta

laotel08.vicp.net

JP

Tokyo

greensky27.vicp.net

KH

 

googlemm.vicp.net

KH

Phnom Penh

googlemm.vicp.net

MM

 

peacesyou.imwork.net

MM

 

sayakyaw.xicp.net

MM

 

ubaoyouxiang.gicp.net

MM

Yangon

htkg009.gicp.net

MM

 

kyawthumyin.xicp.net

MM

 

myanmartech.vicp.net

MM

 

test-user123.vicp.cc

MY

 

us.googlereader.pw

MY

 

net.googlereader.pw

MY

 

lovethai.vicp.net

MY

 

yahoo.goodns.in

MY

Putrajaya

xl.findmy.pw

MY

Putrajaya

xl.kevins.pw

PH

Caloocan

oraydns.googlesec.pw

PH

Caloocan

gov.yahoomail.pw

PH

 

pp.googledata.pw

PH

 

xl.findmy.pw

PH

 

mlfjcjssl.gicp.net

PH

 

o.wm.ggpw.pw

PH

 

oooppp.findmy.pw

PH

 

cipta.kevins.pw

PH

 

phi.yahoomail.pw

SG

Singapore

xl.findmy.pw

SG

Singapore

dd.googleoffice.in

VN

Hanoi

moziliafirefox.wicp.net

VN

Hanoi

bkav.imshop.in

VN

Hanoi

baomoi.coyo.eu

VN

Dong Ket

macstore.vicp.cc

VN

Hanoi

downloadwindows.imwork.net

VN

Hanoi

vietkey.xicp.net

VN

Hanoi

baomoi.vicp.cc

VN

Hanoi

downloadwindow.imwork.net

VN

Binh Duong

www.ttxvn.net

VN

Binh Duong

vietlex.gnway.net

VN

Hanoi

www.ttxvn.net

VN

Hanoi

us.googlereader.pw

VN

Hanoi

yahoo.goodns.in

VN

Hanoi

lovethai.vicp.net

VN

Hanoi

vietlex.gnway.net

 

XSControl – „oprogramowanie do zarządzania ofiarami” ugrupowania APT Naikon

W operacjach ugrupowania Naikon serwer kontroli to wyspecjalizowane oprogramowanie XSControl działające na maszynie operatora. Może być wykorzystywane do zarządzania całą siecią zainfekowanych klientów. W niektórych przypadkach, serwer proxy jest wykorzystywany w celu tunelowania ruchu ofiary do serwera XSControl. Serwer proxy ugrupowania Naikon to wyspecjalizowany serwer, który przyjmuje połączenia przychodzące z komputerów ofiar i przekierowuje je na komputer operatora. Taki serwer można skonfigurować w państwie docelowym, aby tunelował ruch z systemów ofiar do powiązanych serwerów kontroli. 

XSControl został napisany w języku .NET przy użyciu DevExpress. Jego główne możliwości to:

  • akceptowanie połączeń początkowych od klientów,
  • dostarczanie klientom głównego modułu zdalnej administracji,
  • umożliwianie im zdalnego administrowania zainfekowanymi komputerami przy pomocy interfejsu graficznego (GUI),
  • prowadzenie logów aktywności klientów,
  • prowadzenie logów aktywności operatora,
  • wysyłanie logów i plików na serwer FTP.

Logi aktywności operatora zawierają:

  • bazę XML pobranych plików określającą czas wykonania operacji, ścieżkę zdalną oraz ścieżkę lokalną,
  • bazę danych nazw plików, kluczy rejestru komputera ofiary dla folderów i sekcji żądanych przez operatora,
  • historię wykonanych poleceń.

Państwo X / Operator X

Przeanalizujmy jeden z ataków grupy Naikon na przykładzie państwa „X”.

Z analizy wynika, że kampania cyberszpiegowska przeciwko państwu X trwa od wielu lat. Komputery zainfekowane modułami zdalnej kontroli zapewniały osobom atakującym dostęp do poczty firmowej i zasobów wewnętrznych pracowników, jak również dostęp do zawartości poczty firmowej i prywatnej przechowywanej w serwisach zewnętrznych.

Poniżej znajduje się częściowa lista organizacji dotkniętych kampanią szpiegowską „operatora X” ugrupowania Naikon w państwie X:

  • biuro prezydenta,
  • siły zbrojne,
  • biuro sekretarza gabinetu,
  • rada bezpieczeństwa narodowego,
  • biuro prokuratora generalnego,
  • krajowa agencja ds. koordynacji informacji wywiadowczych,
  • agencja ds. lotnictwa cywilnego,
  • departament sprawiedliwości,
  • policja federalna,
  • sztab wykonawczy/administracji prezydenckiej i zarządzania.

Kilka z tych organizacji stanowiło kluczowe cele i było poddanych ciągłemu monitoringowi w czasie rzeczywistym. Podczas monitoringu sieci przez operatora X osoby atakujące rozmieściły serwery proxy ugrupowania Naikon w granicach państw, aby ukryć i obsługiwać połączenia wychodzące w czasie rzeczywistym oraz wydobywać dane z atakowanych organizacji.  

W celu uzyskania danych uwierzytelniających pracowników operator X wykorzystywał niekiedy keyloggery. W razie potrzeby, dostarczał je za pośrednictwem klienta zdalnej kontroli. Oprócz przechwytywania uderzeń klawiszy osoba atakująca przechwytywała również ruch sieciowy. Aktywność obejmowała również kopiowanie i zdalną instalację winpcap w systemach wewnątrz wrażliwych sieci biurowych, a następnie zdalną konfigurację zadań w celu uruchomienia snifferów sieciowych. Niektóre grupy APT, takie jak Naikon, rozprzestrzeniają tego rodzaju narzędzia w różnych systemach w celu odzyskania kontroli w razie jej przypadkowej awarii.        

Operator X wykorzystywał również specyfikę kulturową w swoich krajach docelowych, np. regularne i powszechnie akceptowane wykorzystywanie prywatnych kont Gmail do celów związanych z pracą. Dlatego ugrupowanie APT Naikon bez trudu zarejestrowało podobnie wyglądające adresy e-mail oraz wysłało swoim celom e-maile typu spear-phishing, odsyłacze do stron infekujących szkodliwym oprogramowaniem oraz odsyłacze do plików przechowywanych na Dysku Google.

Imperium kontratakuje

Co jakiś czas grupa Naikon ściera się z innymi ugrupowaniami APT, które również są aktywne w regionie. W szczególności zauważyliśmy, że opisywane ugrupowanie stało się celem ataku typu spear-phishing przeprowadzonego przez grupę o Hellsing. Więcej informacji na temat potyczek między grupami Naikon i Hellsing można znaleźć w naszym serwisie: http://www.securelist.pl/analysis/7309,kroniki_hellsinga_imperium_kontratakuje.html.