"Red October" - dochodzenie w sprawie cyberataków na placówki dyplomatyczne

Spis treści

• Streszczenie
• Anatomia ataku
  • Opis ogólny
  • Opis krok po kroku (etap 1)
  • Opis krok po kroku (etap 2)
• Oś czasu
• Cele
  • Statystyki KSN
• Statystyki leja
• Dane KSN i leja
• Informacje o centrum kontroli (C&C)

Streszczenie

W październiku 2012 r., Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab, zainicjował nowe badania zagrożeń po serii ataków na sieci komputerowe różnych międzynarodowych organizacji służby dyplomatycznej. W trakcie dochodzenia ujawniono i analizowano zakrojoną na dużą skalę operację cyberszpiegowską, którą nazwano „Red October” (na cześć słynnej powieści „Polowanie na Czerwony Październik”). Niniejsze sprawozdanie opiera się na szczegółowej analizie technicznej serii ukierunkowanych ataków, wymierzonych przeciwko placówkom dyplomatycznym, agencjom rządowym i organizacjom naukowym w różnych krajach, w większości związanych z regionem Europy Wschodniej, byłych republik ZSRR i terytorium Azji Środkowej.

Głównym celem napastników było zebranie wywiadu z zaatakowanych organizacji. Wywiad obejmował systemy komputerowe, osobiste urządzenia przenośne i urządzenia sieciowe. Najwcześniejsze dowody wskazują, że omawiana kampania cyberszpiegowska była aktywna od roku 2007 i wciąż jest aktywna w czasie pisania tego artykułu (styczeń 2013). Poza tym, dane rejestracyjne, wykorzystane przy zakupie kilku serwerów centrum kontroli (C&C, C2), oraz unikalne nazwy plików szkodliwego oprogramowania wskazujące na obecnych napastników, wyraźnie sygnalizują, że kampania „Red October” mogła zostać uruchomiona już w maju 2007 r.

Główne ustalenia

Napastnicy: są aktywni od co najmniej pięciu lat, koncentrując się na agencjach dyplomatycznych i rządowych różnych krajów na całym świecie. Informacje zebrane z zainfekowanych sieci są wykorzystywane w późniejszych atakach. Na przykład, skradzione poświadczenia zbierane są w jedną listę i wykorzystywane, gdy napastnicy chcą odgadnąć hasła i poświadczenia sieciowe w innych lokalizacjach / siedzibach danego celu. Aby kontrolować sieć zainfekowanych maszyn, atakujący stworzyli ponad 60 nazw domen i kilka serwerów hostingowych w różnych krajach (głównie w Niemczech i w Rosji). Infrastruktura C&C jest w rzeczywistości siecią serwerów pracujących jako proxy i ukrywających położenie prawdziwego „statku matki”, czyli głównego serwera kontroli.

Unikalna architektura: atakujący stworzyli wielofunkcyjną platformę, która jest w stanie adaptować rozszerzenia funkcji do gromadzenia różnych typów danych. System jest odporny na przejęcie serwera C&C i pozwala atakującemu odzyskać dostęp do zainfekowanych komputerów po skorzystaniu z alternatywnych kanałów komunikacji.

Szeroki dobór celów: Obok tradycyjnych celów ataku (głównie stacje robocze), system jest zdolny do kradzieży danych z urządzeń mobilnych (iPhone, Nokia, Windows Mobile), wykonywania zrzutów konfiguracji sprzętu sieciowego (Cisco), przejmowania plików z dysków wymiennych (w tym już usuniętych plików – za pomocą niestandardowej procedury odzyskiwania plików).

Wprowadzanie exploitów: Próbki, które udało nam się pozyskać, używały kodu exploita wykorzystującego luki w aplikacjach Microsoft Word i Microsoft Excel. Exploit ten został stworzony przez innych napastników i był wykorzystywany podczas zupełnie innych ataków. Napastnicy pozostawili zaimportowany kod exploita nietknięty, być może w celu utrudnienia procesu identyfikacji.

Identyfikacja napastników: Na podstawie danych rejestracyjnych serwerów C&C oraz licznych „pozostałości” w plikach wykonywalnych szkodliwego oprogramowania, jesteśmy przekonani, że napastnicy mają rosyjskojęzyczne korzenie. Obecne ataki i utworzone pliki wykonywalne, opracowane przez tych napastników, do niedawna pozostawały nieznane, a sami atakujący nigdy nie byli powiązani z żadnymi innymi atakami cybernetycznymi.

Anatomia ataku

Opis ogólny

Ataki postępowały według klasycznego scenariusza ataków ukierunkowanych, składającego się z dwóch głównych etapów:

1. Wstępna infekcja;
2. Wdrażanie dodatkowych modułów do gromadzenia informacji.

Szkodliwy kod był dostarczany za pośrednictwem poczty elektronicznej jako załączniki (dokumenty Microsoft Excel, Word i prawdopodobnie PDF), które były zaopatrzone w kod exploita dla znanych luk bezpieczeństwa w określonych aplikacjach. Zaraz po tym, jak ofiara otworzyła złośliwy dokument na podatnym systemie, osadzony złośliwy kod inicjował konfigurację głównego składnika, który z kolei nawiązywał komunikację z serwerami centrum kontroli. Następnie, system pobierał wiele dodatkowych modułów z serwera C&C, wliczając w to moduły zdolne do infekcji smartfonów.

Głównym celem modułów szpiegowskich jest kradzież informacji. Obejmuje to pliki z różnych systemów kryptograficznych, takich jak „Acid Cryptofiler”, który jest znany z zastosowania w Unii Europejskiej / Parlamencie Europejskim / Komisji Europejskiej od lata 2011 r. Wszystkie zebrane informacje są pakowane, szyfrowane i wyprowadzane na serwer C&C.

Opis krok po kroku (etap 1)

W trakcie naszego śledztwa nie mogliśmy znaleźć żadnych wiadomości e-mail używanych w atakach, jedynie najważniejsze dokumenty z dropperami. Niemniej jednak, na podstawie pośrednich dowodów, wiemy, że e-maile mogą być wysyłane przy użyciu jednej z następujących metod:

• Korzystanie z anonimowych skrzynek pocztowych od dostawcy publicznych usług e-mail;
• Korzystanie z wiarygodnych skrzynek pocztowych już zainfekowanych organizacji.

Tematy, jak również teksty wiadomości e-mail, były zróżnicowane w zależności od celu (odbiorcy). Załączony plik zawierał kod exploita, który aktywował w systemie program ładujący trojana. Zaobserwowaliśmy zastosowanie co najmniej trzech różnych exploitów do wcześniej znanych luk: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) i CVE-2012-0158 (MS Word). Najwcześniejsze znane ataki wykorzystywały exploita dla MS Excel i miały miejsce pomiędzy rokiem 2010 i 2011, natomiast ataki wykorzystując podatność w aplikacji MS Word pojawiły się latem 2012 r. Godnym podkreślenia jest fakt, że napastnicy użyli publicznie dostępnego kodu exploita, pochodzącego ze znanej wcześniej kampanii ataków ukierunkowanych chińskiego pochodzenia. Jedyną rzeczą, która uległa zmianie, jest plik wykonywalny osadzony w dokumencie – napastnicy zastąpili go kodem stworzonym przez siebie.

Osadzony plik wykonywalny jest dropperem, który wyodrębnia i uruchamia trzy dodatkowe pliki.

%TEMP%\MSC.BAT
%ProgramFiles%\WINDOWS NT\LHAFD.GCP (<- nazwa tego pliku jest zmienna)
%ProgramFiles%\WINDOWS NT\SVCHOST.EXE

Plik MSC.BAT posiada następujące składniki:

Innym ważnym faktem jest, że w pierwszej linii tego pliku zawarte zostało polecenie, które ma za zadanie przełączyć stronę kodową infekowanej maszyny na wartość 1251. Jest to konieczne w celu adresowania plików i katalogów, których nazwy zawierają znaki Cyrylicy.

Plik "LHAFD.GCP" jest zaszyfrowany algorytmem RC4 i skompresowany z użyciem biblioteki „Zlib”. Ten plik jest zasadniczym backdoorem, który jest dekodowany przez moduł loadera („svchost.exe”). Odszyfrowany plik jest wstrzykiwany do pamięci systemowej i odpowiada za komunikację z serwerem C&C.

Na każdym zainfekowanym systemie każde większe zadanie jest wykonywane przez główny składnik backdoora. Główny składnik jest uruchamiany dopiero wtedy, gdy loader („svchost.exe”) sprawdzi dostępność połączenia internetowego. Czyni to poprzez podłączenie do trzech hostów Microsoftu:

• update.microsoft.com
• www.microsoft.com
• support.microsoft.com

Hosty wykorzystywane do walidacji połączenia internetowego

Po potwierdzeniu dostępności połączenia internetowego, loader uruchamia główny składnik backdoora, który łączy się ze swoimi serwerami C&C:

Komunikacja szkodliwego oprogramowania ze swoim centrum kontroli

Połączenia z C&C są zaszyfrowane – do wysyłania i odbierania danych używane są różne algorytmy szyfrowania.

Zaszyfrowana komunikacja z C2

Podczas naszego dochodzenia odkryliśmy ponad 60 nazw domen, stosowanych przez napastników do kontroli i pobierania danych ofiar. Każda próbka szkodliwego oprogramowania zawiera trzy takie domeny, które są ustalone „na sztywno” wewnątrz głównego składnika backdoora:

Domeny C2 zdefiniowane wewnątrz backdoora

Opis krok po kroku (etap 2)

Po nawiązaniu połączenia z serwerem C&C, backdoor rozpoczyna proces komunikacji, który prowadzi do ładowania dodatkowych modułów. Moduły te można podzielić na dwie kategorie: „offline” i „online”. Główną różnicą między tymi kategoriami jest ich zachowanie w zainfekowanym systemie:

• „Offline”: moduły rezydują jako pliki na dysku lokalnym, są zdolne do tworzenia własnych kluczy rejestru w systemie i plików dziennika na dysku lokalnym, mogą samodzielnie komunikować się z serwerami centrum kontroli.
• „Online”: moduły istnieją tylko w pamięci systemu i nigdy nie są zapisywane na dysku lokalnym, nie tworzą kluczy rejestru, wszystkie dzienniki są przechowywane w pamięci zamiast na dysku lokalnym, a rezultaty pracy modułu są przesyłane do serwera C&C przy pomocy własnego kodu szkodnika.

Wśród wszystkich modułów jest jeden godny uwagi, który jest zasadniczo specjalnie stworzony, aby być osadzonym w aplikacjach Adobe Reader i Microsoft Office. Głównym celem tego modułu jest stworzenie niezawodnego sposobu na odzyskanie dostępu do systemu docelowego. Moduł oczekuje na specjalnie spreparowany dokument z dołączonym kodem wykonywalnym i specjalnymi znacznikami. Dokument może zostać wysłany do ofiary za pośrednictwem poczty e-mail. Nie posiada on kodu exploita i bez obaw przejdzie przez wszelkie środki ochrony. Jednak, jak w przypadku exploitów, dokument zostanie natychmiast przetworzony, a moduł uruchomi złośliwą aplikację dołączoną do dokumentu. Dzięki tej sztuczce można odzyskać dostęp do zainfekowanych maszyn, w przypadku niespodziewanych zamknięć / awarii serwerów C&C.

Oś czasu

Podczas naszych badań odkryliśmy ponad 1000 unikatowych plików, należących do około 30 różnych kategorii modułów. Większość z nich została stworzona pomiędzy majem 2010 r., a październikiem 2012 r. 115 dat utworzenia plików zidentyfikowanych zostało jako odnoszące się do kampanii prowadzonej za pośrednictwem poczty elektronicznej przez ostatnie dwa i pół roku. Koncentracja dat utworzenia plików wokół konkretnego dnia może wskazywać na datę masowych ataków (co również potwierdzają nasze niektóre obserwacje):

Rok 2010

• 19.05.2010
• 21.07.2010
• 04.09.2010

Rok 2011

• 05.01.2011
• 14.03.2011
• 05.04.2011
• 23.06.2011
• 06.09.2011
• 21.09.2011

Rok 2012

• 12.01.2012

Poniżej znajduje się lista nazw plików przykładowych załączników, które zostały wysłane do niektórych ofiar:

Cele

Do określenia celów dla tych ataków wykorzystaliśmy dwa podejścia. W pierwszym użyliśmy Kaspersky Security Network (KSN), a następnie skonfigurowaliśmy własny serwer do operacji sinkholingu. Dane otrzymane za pomocą dwóch niezależnych metod korelowały ze sobą, a to potwierdziło nasze ustalenia.

Statystyki KSN

Napastnicy używali w swoich atakach dotychczas wykryte kody exploitów i, ze względu na ten fakt, na początku badania mieliśmy już pewne statystyki pochodzące z próbek wykrytych przez nasze oprogramowanie antywirusowe. Szukaliśmy podobnych danych detekcji w okresie 2011 – 2012. W ten sposób odkryliśmy ponad 300 unikalnych systemów, na których wykryto przynajmniej jeden moduł trojana.

Po raz kolejny zaznaczamy, że powyższe zestawienie powstało na podstawie danych dostarczonych przez produkty Kaspersky Lab. Rzeczywista liczba ofiar jest na pewno znacznie większa.

Statystyki leja

Podczas naszego dochodzenia odkryliśmy ponad 60 nazw domen, wykorzystywanych przez różne warianty szkodnika. Z listy domen kilka sztuk wygasło, więc zarejestrowaliśmy je ponownie, aby ocenić liczbę ofiar usiłujących się z nimi połączyć. Następujące domeny zostały zarejestrowane i zassane do leja w operacji sinkholingu przeprowadzonej przez Kaspersky Lab:

Wszelkie zassane do leja domeny aktualnie wskazują na adres „95.211.172.143”, który przynależy do serwera Kaspersky Lab. Podczas okresu ścisłego monitorowania (2 listopada 2012 – 10 stycznia 2013), zarejestrowaliśmy ponad 55 000 połączeń z lejem. Najpopularniejszą domeną była domena „dll-host-update.com”, która odbierała większość ruchu.

Liczba różnych adresów IP łączących się z lejem wyniosła 250. Z punktu widzenia podziału geograficznego połączeń z lejem, zarejestrowaliśmy ofiary pochodzące z 39 krajów, z których większość adresów IP przynależało do Szwajcarii, Kazachstanu i Grecji.

Zastanawiający jest fakt, że podczas połączenia z lejem, backdoory przedstawiają swoje unikalne identyfikatory ofiar, co pozwalało nam na rozdzielenie wielu adresów IP na poszczególne ofiary.

W oparciu o analizę ruchu odbieranego przez nasz lej, stworzyliśmy poniższą listę unikatowych identyfikatorów ofiar, krajów pochodzenia i możliwych profili:

W niektórych przypadkach możliwe jest utworzenie profilu ofiary na podstawie adresu IP. W większości przypadków, jednakże, tożsamość ofiary pozostaje nieznana.

Dane KSN i leja

Niektóre ofiary zostały zidentyfikowane za pomocą adresów IP lub publicznych informacji WHOIS oraz nazw systemu zdalnego. Najbardziej „interesujące” z nich to:

Informacje o centrum kontroli (C&C)

Listę najbardziej popularnych domen, wykorzystywanych w centrum kontroli, można znaleźć poniżej:

Co ciekawe, chociaż domena „dll-host-update.com” pojawia się w jednej ze szkodliwych konfiguracji, nie została ona zarejestrowana przez atakujących. Domena została zarejestrowana przez Kaspersky Lab dnia 2 listopada 2012 r. do monitorowania działań napastników. Kolejnym ciekawym przykładem jest „dll-host-udate.com” – fraza „udate” wydaje się być błędem literowym. Wszystkie domeny, wykorzystywane przez napastników, wydają się być zarejestrowane między rokiem 2007 a 2012. Najstarsza znana domena została zarejestrowana w listopadzie 2007 r.; najnowsza - w maju 2012 r. Większość domen zostało zarejestrowanych za pośrednictwem usługi „reg.ru”, ale w użyciu były też inne usługi, jak „webdrive.ru”, „webnames.ru” lub „timeweb.ru”.

Podczas naszej kontroli, obserwowaliśmy domeny wskazujące na kilka szkodliwych serwerów. Lista serwerów, wykazujących potwierdzone szkodliwe zachowanie, znajduje się poniżej. W sumie zidentyfikowaliśmy 10 złośliwych serwerów. Większość z nich znajduje się w Niemczech i należy do firmy hostingowej Hetzner Online Ag.

Podczas naszej analizy byliśmy w stanie uzyskać obraz jednego z serwerów centrum kontroli. Serwer okazał się być serwerem proxy, który przekazywał żądania do innego serwera na porcie 40080. Skrypt odpowiedzialny za przekierowania został odnaleziony w lokalizacji "/root/scp.pl" i opierał się na narzędziu do przekierowania strumienia „socat”. Poprzez skanowanie internetu w poszukiwaniu hostów z otwartym portem 40080, udało nam się zidentyfikować w sumie trzy takie serwery, które nazwaliśmy „mini-statkami-matkami”:

Łącząc się z tymi hostami na porcie 40080 i pobierając stronę indeksu, otrzymujemy standardowe treści, które są identyczne we wszystkich C&C:

Pobieranie informacji indeksu (poprzez „NAGŁÓWEK” HTTP) dla tych serwerów, ujawnia następujące dane:

Należy zaznaczyć, iż pole „last modified” na stronach wskazuje na tę samą datę: Tue, 21 Feb 2012 09:00:41 GMT. Jest to ważne i prawdopodobnie oznacza, że trzy znane „mini-statki-matki” same są serwerami proxy, kierującymi do tego jednego, nadrzędnego serwera „statku-matki”. To pozwala nam utworzyć następujący schemat infrastruktury C&C z listopada 2012 r.:

W przypadku serwerów centrum kontroli, różne warianty backdoorów łączą się z różnymi skryptami:

Dla przykładu, skrypt „/cgi-bin/nt/th” jest używany do odbierania poleceń od serwera centrum kontroli, zazwyczaj w postaci nowych wtyczek do uruchomienia na komputerze ofiary. Skrypt „/cgi-bin/nt/sk" jest wywoływany przez uruchomione wtyczki w celu przesyłania skradzionych danych i informacji o ofierze. Podczas połączenia z C&C, backdoor anonsuje się przy pomocy specjalnego ciągu znaków, zawierającego wartość heksadecymalną, która zdaje się być unikalnym identyfikatorem ofiary. Różne warianty backdoora zawierają różne identyfikatory ofiar. Przypuszczalnie umożliwia to napastnikom rozróżniać połączenia i wykonywać określone działania dla każdej ofiary indywidualnie. Dla przykładu, ważny dropper XLS, nazwany „Katyn_-_opinia_Rosjan.xls”i prawdopodobnie wykorzystana przeciwko ofiarom w Polsce, zawiera ustalony identyfikator ofiary: "F50D0B17F870EB38026F". Podobny dropper XLS, zwany „tactlist_05-05-2011_.8634.xls / EEAS New contact list (05-05-2011).xls” i prawdopodobnie użyty w Mołdawii, zawiera identyfikator ofiary: "FCF5E48A0AE558F4B859".

Kolejna część tego artykułu obejmie moduły szkodliwego oprogramowania i dostarczy więcej szczegółów technicznych na temat ich działania.