Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

"Red October" - dochodzenie w sprawie cyberataków na placówki dyplomatyczne

Tagi:

Spis treści

 


Streszczenie

W październiku 2012 r., Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab, zainicjował nowe badania zagrożeń po serii ataków na sieci komputerowe różnych międzynarodowych organizacji służby dyplomatycznej. W trakcie dochodzenia ujawniono i analizowano zakrojoną na dużą skalę operację cyberszpiegowską, którą nazwano „Red October” (na cześć słynnej powieści „Polowanie na Czerwony Październik”). Niniejsze sprawozdanie opiera się na szczegółowej analizie technicznej serii ukierunkowanych ataków, wymierzonych przeciwko placówkom dyplomatycznym, agencjom rządowym i organizacjom naukowym w różnych krajach, w większości związanych z regionem Europy Wschodniej, byłych republik ZSRR i terytorium Azji Środkowej.

Głównym celem napastników było zebranie wywiadu z zaatakowanych organizacji. Wywiad obejmował systemy komputerowe, osobiste urządzenia przenośne i urządzenia sieciowe. Najwcześniejsze dowody wskazują, że omawiana kampania cyberszpiegowska była aktywna od roku 2007 i wciąż jest aktywna w czasie pisania tego artykułu (styczeń 2013). Poza tym, dane rejestracyjne, wykorzystane przy zakupie kilku serwerów centrum kontroli (C&C, C2), oraz unikalne nazwy plików szkodliwego oprogramowania wskazujące na obecnych napastników, wyraźnie sygnalizują, że kampania „Red October” mogła zostać uruchomiona już w maju 2007 r.

Główne ustalenia

Napastnicy: są aktywni od co najmniej pięciu lat, koncentrując się na agencjach dyplomatycznych i rządowych różnych krajów na całym świecie. Informacje zebrane z zainfekowanych sieci są wykorzystywane w późniejszych atakach. Na przykład, skradzione poświadczenia zbierane są w jedną listę i wykorzystywane, gdy napastnicy chcą odgadnąć hasła i poświadczenia sieciowe w innych lokalizacjach / siedzibach danego celu. Aby kontrolować sieć zainfekowanych maszyn, atakujący stworzyli ponad 60 nazw domen i kilka serwerów hostingowych w różnych krajach (głównie w Niemczech i w Rosji). Infrastruktura C&C jest w rzeczywistości siecią serwerów pracujących jako proxy i ukrywających położenie prawdziwego „statku matki”, czyli głównego serwera kontroli.

Unikalna architektura: atakujący stworzyli wielofunkcyjną platformę, która jest w stanie adaptować rozszerzenia funkcji do gromadzenia różnych typów danych. System jest odporny na przejęcie serwera C&C i pozwala atakującemu odzyskać dostęp do zainfekowanych komputerów po skorzystaniu z alternatywnych kanałów komunikacji.

Szeroki dobór celów: Obok tradycyjnych celów ataku (głównie stacje robocze), system jest zdolny do kradzieży danych z urządzeń mobilnych (iPhone, Nokia, Windows Mobile), wykonywania zrzutów konfiguracji sprzętu sieciowego (Cisco), przejmowania plików z dysków wymiennych (w tym już usuniętych plików – za pomocą niestandardowej procedury odzyskiwania plików).

Wprowadzanie exploitów: Próbki, które udało nam się pozyskać, używały kodu exploita wykorzystującego luki w aplikacjach Microsoft Word i Microsoft Excel. Exploit ten został stworzony przez innych napastników i był wykorzystywany podczas zupełnie innych ataków. Napastnicy pozostawili zaimportowany kod exploita nietknięty, być może w celu utrudnienia procesu identyfikacji.

Identyfikacja napastników: Na podstawie danych rejestracyjnych serwerów C&C oraz licznych „pozostałości” w plikach wykonywalnych szkodliwego oprogramowania, jesteśmy przekonani, że napastnicy mają rosyjskojęzyczne korzenie. Obecne ataki i utworzone pliki wykonywalne, opracowane przez tych napastników, do niedawna pozostawały nieznane, a sami atakujący nigdy nie byli powiązani z żadnymi innymi atakami cybernetycznymi.

Anatomia ataku

Opis ogólny

Ataki postępowały według klasycznego scenariusza ataków ukierunkowanych, składającego się z dwóch głównych etapów:

  1. Wstępna infekcja;
  2. Wdrażanie dodatkowych modułów do gromadzenia informacji.

 

Szkodliwy kod był dostarczany za pośrednictwem poczty elektronicznej jako załączniki (dokumenty Microsoft Excel, Word i prawdopodobnie PDF), które były zaopatrzone w kod exploita dla znanych luk bezpieczeństwa w określonych aplikacjach. Zaraz po tym, jak ofiara otworzyła złośliwy dokument na podatnym systemie, osadzony złośliwy kod inicjował konfigurację głównego składnika, który z kolei nawiązywał komunikację z serwerami centrum kontroli. Następnie, system pobierał wiele dodatkowych modułów z serwera C&C, wliczając w to moduły zdolne do infekcji smartfonów.

Głównym celem modułów szpiegowskich jest kradzież informacji. Obejmuje to pliki z różnych systemów kryptograficznych, takich jak „Acid Cryptofiler”, który jest znany z zastosowania w Unii Europejskiej / Parlamencie Europejskim / Komisji Europejskiej od lata 2011 r. Wszystkie zebrane informacje są pakowane, szyfrowane i wyprowadzane na serwer C&C.

Opis krok po kroku (etap 1)

W trakcie naszego śledztwa nie mogliśmy znaleźć żadnych wiadomości e-mail używanych w atakach, jedynie najważniejsze dokumenty z dropperami. Niemniej jednak, na podstawie pośrednich dowodów, wiemy, że e-maile mogą być wysyłane przy użyciu jednej z następujących metod:

  • Korzystanie z anonimowych skrzynek pocztowych od dostawcy publicznych usług e-mail;
  • Korzystanie z wiarygodnych skrzynek pocztowych już zainfekowanych organizacji.

 

Tematy, jak również teksty wiadomości e-mail, były zróżnicowane w zależności od celu (odbiorcy). Załączony plik zawierał kod exploita, który aktywował w systemie program ładujący trojana. Zaobserwowaliśmy zastosowanie co najmniej trzech różnych exploitów do wcześniej znanych luk: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) i CVE-2012-0158 (MS Word). Najwcześniejsze znane ataki wykorzystywały exploita dla MS Excel i miały miejsce pomiędzy rokiem 2010 i 2011, natomiast ataki wykorzystując podatność w aplikacji MS Word pojawiły się latem 2012 r. Godnym podkreślenia jest fakt, że napastnicy użyli publicznie dostępnego kodu exploita, pochodzącego ze znanej wcześniej kampanii ataków ukierunkowanych chińskiego pochodzenia. Jedyną rzeczą, która uległa zmianie, jest plik wykonywalny osadzony w dokumencie – napastnicy zastąpili go kodem stworzonym przez siebie.

Osadzony plik wykonywalny jest dropperem, który wyodrębnia i uruchamia trzy dodatkowe pliki.

%TEMP%\MSC.BAT
%ProgramFiles%\WINDOWS NT\LHAFD.GCP (<- nazwa tego pliku jest zmienna)
%ProgramFiles%\WINDOWS NT\SVCHOST.EXE

Plik MSC.BAT posiada następujące składniki:

chcp 1251
:Repeat
attrib -a -s -h -r "%DROPPER_FILE%"
del "%DROPPER_FILE%"
if exist "%DROPPER_FILE%" goto Repeat
del "%TEMP%\msc.bat"

 

Innym ważnym faktem jest, że w pierwszej linii tego pliku zawarte zostało polecenie, które ma za zadanie przełączyć stronę kodową infekowanej maszyny na wartość 1251. Jest to konieczne w celu adresowania plików i katalogów, których nazwy zawierają znaki Cyrylicy.

Plik "LHAFD.GCP" jest zaszyfrowany algorytmem RC4 i skompresowany z użyciem biblioteki „Zlib”. Ten plik jest zasadniczym backdoorem, który jest dekodowany przez moduł loadera („svchost.exe”). Odszyfrowany plik jest wstrzykiwany do pamięci systemowej i odpowiada za komunikację z serwerem C&C.

Na każdym zainfekowanym systemie każde większe zadanie jest wykonywane przez główny składnik backdoora. Główny składnik jest uruchamiany dopiero wtedy, gdy loader („svchost.exe”) sprawdzi dostępność połączenia internetowego. Czyni to poprzez podłączenie do trzech hostów Microsoftu:

  • update.microsoft.com
  • www.microsoft.com
  • support.microsoft.com

 


Hosty wykorzystywane do walidacji połączenia internetowego

Po potwierdzeniu dostępności połączenia internetowego, loader uruchamia główny składnik backdoora, który łączy się ze swoimi serwerami C&C:


Komunikacja szkodliwego oprogramowania ze swoim centrum kontroli

Połączenia z C&C są zaszyfrowane – do wysyłania i odbierania danych używane są różne algorytmy szyfrowania.


Zaszyfrowana komunikacja z C2

Podczas naszego dochodzenia odkryliśmy ponad 60 nazw domen, stosowanych przez napastników do kontroli i pobierania danych ofiar. Każda próbka szkodliwego oprogramowania zawiera trzy takie domeny, które są ustalone „na sztywno” wewnątrz głównego składnika backdoora:


Domeny C2 zdefiniowane wewnątrz backdoora

Opis krok po kroku (etap 2)

Po nawiązaniu połączenia z serwerem C&C, backdoor rozpoczyna proces komunikacji, który prowadzi do ładowania dodatkowych modułów. Moduły te można podzielić na dwie kategorie: „offline” i „online”. Główną różnicą między tymi kategoriami jest ich zachowanie w zainfekowanym systemie:

  • „Offline”: moduły rezydują jako pliki na dysku lokalnym, są zdolne do tworzenia własnych kluczy rejestru w systemie i plików dziennika na dysku lokalnym, mogą samodzielnie komunikować się z serwerami centrum kontroli.
  • „Online”: moduły istnieją tylko w pamięci systemu i nigdy nie są zapisywane na dysku lokalnym, nie tworzą kluczy rejestru, wszystkie dzienniki są przechowywane w pamięci zamiast na dysku lokalnym, a rezultaty pracy modułu są przesyłane do serwera C&C przy pomocy własnego kodu szkodnika.

 

Wśród wszystkich modułów jest jeden godny uwagi, który jest zasadniczo specjalnie stworzony, aby być osadzonym w aplikacjach Adobe Reader i Microsoft Office. Głównym celem tego modułu jest stworzenie niezawodnego sposobu na odzyskanie dostępu do systemu docelowego. Moduł oczekuje na specjalnie spreparowany dokument z dołączonym kodem wykonywalnym i specjalnymi znacznikami. Dokument może zostać wysłany do ofiary za pośrednictwem poczty e-mail. Nie posiada on kodu exploita i bez obaw przejdzie przez wszelkie środki ochrony. Jednak, jak w przypadku exploitów, dokument zostanie natychmiast przetworzony, a moduł uruchomi złośliwą aplikację dołączoną do dokumentu. Dzięki tej sztuczce można odzyskać dostęp do zainfekowanych maszyn, w przypadku niespodziewanych zamknięć / awarii serwerów C&C.

Oś czasu

Podczas naszych badań odkryliśmy ponad 1000 unikatowych plików, należących do około 30 różnych kategorii modułów. Większość z nich została stworzona pomiędzy majem 2010 r., a październikiem 2012 r. 115 dat utworzenia plików zidentyfikowanych zostało jako odnoszące się do kampanii prowadzonej za pośrednictwem poczty elektronicznej przez ostatnie dwa i pół roku. Koncentracja dat utworzenia plików wokół konkretnego dnia może wskazywać na datę masowych ataków (co również potwierdzają nasze niektóre obserwacje):

Rok 2010

  • 19.05.2010
  • 21.07.2010
  • 04.09.2010

 

Rok 2011

  • 05.01.2011
  • 14.03.2011
  • 05.04.2011
  • 23.06.2011
  • 06.09.2011
  • 21.09.2011

 

Rok 2012

  • 12.01.2012

 

Poniżej znajduje się lista nazw plików przykładowych załączników, które zostały wysłane do niektórych ofiar:

Nazwa pliku:
Katyn_-_opinia_Rosjan.xls
FIEO contacts update.xls
spisok sotrudnikov.xls
List of shahids.xls
Spravochnik.xls
Telephone.xls
BMAC Attache List - At 11 Oct_v1[1].XLS
MERCOSUR_Imports.xls
Cópia de guia de telefonos (2).xls
Programme de fetes 2011.xls
12 05 2011 updated.xls
telefonebi.xls

 

Cele

Do określenia celów dla tych ataków wykorzystaliśmy dwa podejścia. W pierwszym użyliśmy Kaspersky Security Network (KSN), a następnie skonfigurowaliśmy własny serwer do operacji sinkholingu. Dane otrzymane za pomocą dwóch niezależnych metod korelowały ze sobą, a to potwierdziło nasze ustalenia.

Statystyki KSN

Napastnicy używali w swoich atakach dotychczas wykryte kody exploitów i, ze względu na ten fakt, na początku badania mieliśmy już pewne statystyki pochodzące z próbek wykrytych przez nasze oprogramowanie antywirusowe. Szukaliśmy podobnych danych detekcji w okresie 2011 – 2012. W ten sposób odkryliśmy ponad 300 unikalnych systemów, na których wykryto przynajmniej jeden moduł trojana.

ROSJA 35
KAZACHSTAN 21
AZERBEJDŻAN 15
BELGIA 15
INDIE 15
AFGANISTAN 10
ARMENIA 10
IRAN 7
TURKMENISTAN 7
UKRAINA 6
STANY ZJEDNOCZONE 6
WIETNAM 6
BIAŁORUŚ 5
GRECJA 5
WŁOCHY 5
MAROKO 5
PAKISTAN 5
SZWAJCARIA 5
UGANDA 5
ZJEDNOCZONE EMIRATY ARABSKIE 5
BRAZYLIA 4
FRANCJA 4
GRUZJA 4
NIEMCY 4
JORDANIA 4
MOŁDAWIA 4
REPUBLIKA POŁUDNIOWEJ AFRYKI 4
TADŻYKISTAN 4
TURCJA 4
UZBEKISTAN 4
AUSTRIA 3
CYPR 3
KIRGISTAN 3
LIBAN 3
MALEZJA 3
KATAR 3
ARABIA SAUDYJSKA 3
KONGO 2
INDONEZJA 2
KENIA 2
LITWA 2
OMAN 2
TANZANIA 2

Kraje z więcej niż jednym przypadkiem infekcji

 

Po raz kolejny zaznaczamy, że powyższe zestawienie powstało na podstawie danych dostarczonych przez produkty Kaspersky Lab. Rzeczywista liczba ofiar jest na pewno znacznie większa.

Statystyki leja

Podczas naszego dochodzenia odkryliśmy ponad 60 nazw domen, wykorzystywanych przez różne warianty szkodnika. Z listy domen kilka sztuk wygasło, więc zarejestrowaliśmy je ponownie, aby ocenić liczbę ofiar usiłujących się z nimi połączyć. Następujące domeny zostały zarejestrowane i zassane do leja w operacji sinkholingu przeprowadzonej przez Kaspersky Lab:

Domena Data zassania do leja
shellupdate.com 5 grudnia 2012
msgenuine.net 19 kistopada 2012
microsoft-msdn.com 5 listopada 2012
windowsonlineupdate.com
dll-host-update.com
windows-genuine.com
2 listopada 2012

 

Wszelkie zassane do leja domeny aktualnie wskazują na adres „95.211.172.143”, który przynależy do serwera Kaspersky Lab. Podczas okresu ścisłego monitorowania (2 listopada 2012 – 10 stycznia 2013), zarejestrowaliśmy ponad 55 000 połączeń z lejem. Najpopularniejszą domeną była domena „dll-host-update.com”, która odbierała większość ruchu.

Liczba różnych adresów IP łączących się z lejem wyniosła 250. Z punktu widzenia podziału geograficznego połączeń z lejem, zarejestrowaliśmy ofiary pochodzące z 39 krajów, z których większość adresów IP przynależało do Szwajcarii, Kazachstanu i Grecji.

Zastanawiający jest fakt, że podczas połączenia z lejem, backdoory przedstawiają swoje unikalne identyfikatory ofiar, co pozwalało nam na rozdzielenie wielu adresów IP na poszczególne ofiary.

W oparciu o analizę ruchu odbieranego przez nasz lej, stworzyliśmy poniższą listę unikatowych identyfikatorów ofiar, krajów pochodzenia i możliwych profili:

Identyfikator ofiary Kraj Profil ofiary
0706010C1BC0B9E5B702 Kazachstan Rządowy instytut badawczy
0F746C2F283E2FACE581 Kazachstan -?-
150BD7E7449C42C66ED1 Kazachstan -?-
15B7400DBC4975BFAEF6 Austria -?-
24157B5D2CD0CA8AA602 Zjednoczone Emiraty Arabskie -?-
3619E36303A2A56DC880 Rosja Ambasada zagraniczna
4624C55DEF872FBF2A93 Hiszpania -?-
4B5181583F843A904568 Hiszpania -?-
4BB2783B8AEC0B439CE8 Szwajcaria -?-
5392032B24AAEE8F3333 Kazachstan -?-
569530675E86118895C4 Pakistan -?-
57FE04BA107DD56D2820 Iran Ambasada zagraniczna
5D4102CD1D87417FF93B Rosja Rządowy instytut badawczy
5E65486EF8CC4EE4DB5B Japonia Komisja handlu zagranicznego
6127D685ED1E72E09201 Kazachstan -?-
6B9AFF89A02958C79C17 Irlandia Ambasada zagraniczna
6D97B24C08DD64EEDE03 Czechy -?-
7B14DE85C80368337E87 Turcja -?-
89BF96469244534DC092 Białoruś Rządowy instytut badawczy
8AA071A22BEDD8D8EC13 Mołdawia Rząd
8C58407030570D3A3F52 Albania -?-
947827A169348FB01E2F Bośnia i Hercegowina -?-
B34C94D561B348EAC75D Szwajcaria -?-
B49FC93701E7B7F83C44 Belgia -?-
B6E4946A47FC3963ABC1 Kazachstan Grupa badawczo - energetyczna
C978C25326D96C995038 Rosja -?-
D48A783D288DC72A702B Kazachstan Przestrzeń powietrzna
DAE795D285E0A01ADED5 Rosja Spółka handlowa
DD767EEEF83A62388241 Rosja Rządowy instytut badawczy

W niektórych przypadkach możliwe jest utworzenie profilu ofiary na podstawie adresu IP. W większości przypadków, jednakże, tożsamość ofiary pozostaje nieznana.

Dane KSN i leja

Niektóre ofiary zostały zidentyfikowane za pomocą adresów IP lub publicznych informacji WHOIS oraz nazw systemu zdalnego. Najbardziej „interesujące” z nich to:

Algieria - Ambasada
Afganistan - Rząd, Wojsko, Ambasada,
Armenia - Rząd, Ambasada
Austria - Ambasada
Azerbejdżan - Sektor naftowy / energetyczny, Ambasada, Badania naukowe
Białoruś - Badania naukowe, Sektor naftowy / energetyczny, Rząd, Ambasada
Belgia - Ambasada
Bośnia i Hercegowina - Ambasada
Botswana - Ambasada
Brunei – Rząd
Kongo – Ambasada
Cypr - Ambasada, Rząd
Francja - Ambasada, Wojsko
Gruzja - Ambasada
Niemcy - Ambasada
Grecja – Ambasada
Węgry -Ambasada
Indie – Ambasada
Indonezja - Ambasada
Iran – Ambasada
Irak – Rząd
Irlandia - Ambasada
Izrael - Ambasada
Włochy -Ambasada
Japonia - Handel, Ambasada
Jordania - Ambasada
Kazachstan - Rząd, Badania naukowe, Przemysł lotniczy, Przemysł jądrowy / energetyczny, Wojsko
Kenia - Ambasada
Kuwejt - Ambasada
Łotwa - Ambasada
Liban - Ambasada
Litwa - Ambasada
Luksemburg - Rząd
Mauretania - Ambasada
Mauretania - Rząd, Wojsko, Ambasada
Maroko - Ambasada
Mozambik - Ambasada
Oman - Ambasada
Pakistan - Ambasada
Portugalia - Ambasada
Katar - Ambasada
Rosja - Ambasada, Badania naukowe, Wojsko, Przemysł jądrowy / energetyczny
Arabia Saudyjska - Ambasada
Republika Południowej Afryki - Ambasada
Hiszpania - Rząd, Ambasada
Szwajcaria - Ambasada
Tanzania - Ambasada
Turcja - Ambasada
Turkmenistan - Rząd, Sektor naftowy / energetyczny
Uganda - Ambasada
Ukraina - Wojsko
Zjednoczone Emiraty Arabskie - Sektor naftowy / energetyczny, Ambasada, Rząd
Stany Zjednoczone - Ambasada
Uzbekistan - Ambasada

 

Informacje o centrum kontroli (C&C)

Listę najbardziej popularnych domen, wykorzystywanych w centrum kontroli, można znaleźć poniżej:

Co ciekawe, chociaż domena „dll-host-update.com” pojawia się w jednej ze szkodliwych konfiguracji, nie została ona zarejestrowana przez atakujących. Domena została zarejestrowana przez Kaspersky Lab dnia 2 listopada 2012 r. do monitorowania działań napastników. Kolejnym ciekawym przykładem jest „dll-host-udate.com” – fraza „udate” wydaje się być błędem literowym. Wszystkie domeny, wykorzystywane przez napastników, wydają się być zarejestrowane między rokiem 2007 a 2012. Najstarsza znana domena została zarejestrowana w listopadzie 2007 r.; najnowsza - w maju 2012 r. Większość domen zostało zarejestrowanych za pośrednictwem usługi „reg.ru”, ale w użyciu były też inne usługi, jak „webdrive.ru”, „webnames.ru” lub „timeweb.ru”.

Podczas naszej kontroli, obserwowaliśmy domeny wskazujące na kilka szkodliwych serwerów. Lista serwerów, wykazujących potwierdzone szkodliwe zachowanie, znajduje się poniżej. W sumie zidentyfikowaliśmy 10 złośliwych serwerów. Większość z nich znajduje się w Niemczech i należy do firmy hostingowej Hetzner Online Ag.

Podczas naszej analizy byliśmy w stanie uzyskać obraz jednego z serwerów centrum kontroli. Serwer okazał się być serwerem proxy, który przekazywał żądania do innego serwera na porcie 40080. Skrypt odpowiedzialny za przekierowania został odnaleziony w lokalizacji "/root/scp.pl" i opierał się na narzędziu do przekierowania strumienia „socat”. Poprzez skanowanie internetu w poszukiwaniu hostów z otwartym portem 40080, udało nam się zidentyfikować w sumie trzy takie serwery, które nazwaliśmy „mini-statkami-matkami”:

Łącząc się z tymi hostami na porcie 40080 i pobierając stronę indeksu, otrzymujemy standardowe treści, które są identyczne we wszystkich C&C:

Pobieranie informacji indeksu (poprzez „NAGŁÓWEK” HTTP) dla tych serwerów, ujawnia następujące dane:

curl -I --referer "http://www.google.com/" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" http://31.41.45.139:40080

HTTP/1.1 200 OK
Date: Mon, 12 Nov 2012 09:58:37 GMT
Server: Apache
Last-Modified: Tue, 21 Feb 2012 09:00:41 GMT
ETag: "8c0bf6-ba-4b975a53906e4"
Accept-Ranges: bytes
Content-Length: 186
Content-Type: text/html

curl -I --referer "http://www.google.com/" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" http://178.63.208.63:40080

HTTP/1.1 200 OK
Date: Mon, 12 Nov 2012 09:59:09 GMT
Server: Apache
Last-Modified: Tue, 21 Feb 2012 09:00:41 GMT
ETag: "8c0bf6-ba-4b975a53906e4"
Accept-Ranges: bytes
Content-Length: 186
Content-Type: text/html

Należy zaznaczyć, iż pole „last modified” na stronach wskazuje na tę samą datę: Tue, 21 Feb 2012 09:00:41 GMT. Jest to ważne i prawdopodobnie oznacza, że trzy znane „mini-statki-matki” same są serwerami proxy, kierującymi do tego jednego, nadrzędnego serwera „statku-matki”. To pozwala nam utworzyć następujący schemat infrastruktury C&C z listopada 2012 r.:

W przypadku serwerów centrum kontroli, różne warianty backdoorów łączą się z różnymi skryptami:

Domena Lokalizacja skryptu
nt-windows-update.com, nt-windows-check.com, nt-windows-online.com /cgi-bin/nt/th
/cgi-bin/nt/sk
dll-host-update.com /cgi-bin/dllhost/ac
microsoft-msdn.com /cgi-bin/ms/check
/cgi-bin/ms/flush
windows-genuine.com /cgi-bin/win/wcx
/cgi-bin/win/cab
windowsonlineupdate.com /cgi-bin/win/cab

Dla przykładu, skrypt „/cgi-bin/nt/th” jest używany do odbierania poleceń od serwera centrum kontroli, zazwyczaj w postaci nowych wtyczek do uruchomienia na komputerze ofiary. Skrypt „/cgi-bin/nt/sk" jest wywoływany przez uruchomione wtyczki w celu przesyłania skradzionych danych i informacji o ofierze. Podczas połączenia z C&C, backdoor anonsuje się przy pomocy specjalnego ciągu znaków, zawierającego wartość heksadecymalną, która zdaje się być unikalnym identyfikatorem ofiary. Różne warianty backdoora zawierają różne identyfikatory ofiar. Przypuszczalnie umożliwia to napastnikom rozróżniać połączenia i wykonywać określone działania dla każdej ofiary indywidualnie. Dla przykładu, ważny dropper XLS, nazwany „Katyn_-_opinia_Rosjan.xls”i prawdopodobnie wykorzystana przeciwko ofiarom w Polsce, zawiera ustalony identyfikator ofiary: "F50D0B17F870EB38026F". Podobny dropper XLS, zwany „tactlist_05-05-2011_.8634.xls / EEAS New contact list (05-05-2011).xls” i prawdopodobnie użyty w Mołdawii, zawiera identyfikator ofiary: "FCF5E48A0AE558F4B859".

Kolejna część tego artykułu obejmie moduły szkodliwego oprogramowania i dostarczy więcej szczegółów technicznych na temat ich działania.