Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Winnti powraca z PlugX

Dmitrij Tarakanow
Kaspersky Lab Expert
Dodany 24 kwietnia 2013, 15:59 CEST
Tagi:

Kontynuując nasze dochodzenie dotyczące grupy Winnti, w tym artykule postaramy się opisać sposób, w jaki grupa próbowała ponownie zainfekować określone firmy zajmujące się produkcją gier komputerowych i jakiego złośliwego oprogramowania używała w tym celu. Po odkryciu, że serwery firmy, z którą współpracowaliśmy, zostały zainfekowane, rozpoczęliśmy operację ich leczenia w porozumieniu z administratorami systemu, dążąc do usunięcia szkodliwych plików z sieci firmowej. Zajęło to trochę czasu, bo nie było jasne na początku, jak dokładnie cyberprzestępcy przeniknęli do sieci korporacyjnej; nie mogliśmy znaleźć sposobu, aby całkowicie zatrzymać ataki penetrujące sieć, a szkodliwe pliki wciąż się pojawiały na firmowych komputerach. Analiza przeprowadzona samodzielnie przez firmę produkującą gry doprowadziła nas do wniosku, że infekcja rozpoczęła się niedługo po nawiązaniu współpracy z inną firmą działającą w branży gier komputerowych w Korei Południowej. Zostało to potwierdzone przez nasze niezależne badanie: jak napisaliśmy wcześniej, grupa Winnti jest najbardziej aktywna w Azji Południowo – Wschodniej, a w samej tylko Korei Południowej zidentyfikowaliśmy 14 zainfekowanych firm zajmujących się produkcją gier wideo.

W trakcie naszych wysiłków na dordze usunięcia infekcji, firma produkująca gry przysłała nam podejrzane pliki, które pojawiały się na komputerach firmowych. Wiele z tych plików było próbkami szkodnika Winnti. Kiedy tylko informacje o szkodliwych plikach zostały dodane do naszych antywirusowych baz danych, użyliśmy naszych produktów do usunięcia złośliwego oprogramowania Winnti z sieci firmowej. Jednak, napastnicy zareagowali bardzo szybko: nowe próbki złośliwych programów tajemniczo pojawiły się na komputerach, z których infekcja została całkowicie usunięta poprzedniego dnia. Ostatecznie jednak, nasze starania okazały się skuteczne i dalszy dostęp napastników do komputerów firmy produkującej gry komputerowe został zablokowany. Jednakże, tak jak się spodziewaliśmy, było zbyt wcześnie, aby świętować. Dokładnie miesiąc po tym, jak sieć firmy produkującej gry komputerowe została oczyszczona, grupa Winnti powróciła. Administrator systemu przesłał nam podejrzane pliki, które były dołączane do wiadomości przesyłanych do pracowników firmy. Był to wręcz książkowy przykład spear-phishingu: napastnicy przedstawiali się jako twórcy gier komputerowych i udawali, że poszukują możliwości nawiązania współpracy z dużymi wydawcami.

Wiadomości zostały napisane niedbale, z licznymi błędami, co wskazywało, że ich autorzy nie posiadają dobrej znajomości języka angielskiego. Szczególnie śmiesznie wyglądało to w wiadomości rzekomo wysłanej przez początkującą firmę z branży gier z Los Angeles. Do wiadomości dołączane były archiwa RAR. Archiwa zawierały pliki wykonywalne, których rozszerzenia zostały ukryte przy użyciu dobrze znanej techniki odwracania tekstu za pomocą znaku specjalnego 0x202e. W rezultacie pliki wykonywalne vmw.scr igpj.com były wyświetlane w Eksploatorze Windows jako rcs.wmv i moc.jpg, jak gdyby były to pliki wideo i obrazy JPEG.

Menedżer plików Far wyświetla prawidłowe nazwy tych plików, pokazując znak specjalny 0x202e jako znak zapytania na początku nazwy pliku. Pomysłem napastników było to, że pracownik otrzymuje jedną ze wspomnianych wiadomości, rozpakowuje załączone archiwum, widzi zawarty w nim obraz lub nagranie wideo i bez zastanowienia otwiera plik. W wyniku tych działań uruchamiane są pliki wykonywalne i infekcja zostaje rozpoczęta. Te pliki wykonywalne okazały się być złośliwe. Ku naszemu zdziwieniu, szkodliwe oprogramowanie pochodziło z rodziny PlugX, która jest nam bardzo dobrze znana. Poczuliśmy się dziwnie widząc rodzinę złośliwego oprogramowania, która wcześniej została wykryta w atakach na działaczy politycznych i instytucje rządowe, używaną teraz do nękania firm z branży gier wideo. Podczas naszej analizy okazało się, że nie ma żadnych danych wskazujących na wykorzystanie PlugX przez jakiekolwiek inne grupy cyberprzestępcze. Oczywiście, to doprowadziło nas do pytania: czy możliwe jest, aby grupa Winnti stała zarówno za atakami na firmy produkujące gry, jak i za tymi wymierzonymi w np. aktywistów tybetańskich?! Biorąc pod uwagę ilość pracy, jaką trzeba włożyć w przeprowadzenie ataku na firmy produkujące gry komputerowe, nasuwa się pytanie: skąd napastnicy biorą czas? Badając rodzinę szkodników PlugX nie mogliśmy znaleźć żadnego powiązania pomiędzy próbkami PlugX, rozpowszechnianymi przez grupę Winnti, a próbkami PlugX używanymi w atakach na cele spoza branży gier komputerowych. Jednakże, później okazało się, że grupa Winnti, nawet jeśli nie stała bezpośrednio za atakami z użyciem PlugX na organizacje spoza branży gier komputerowych, zdecydowanie związana była z inną grupą (lub grupami) zaangażowaną w takie ataki.

Analizując tematy wiadomości – i pamiętając, że firma została zaatakowana na krótką chwilę przed analizą tych danych – doszliśmy do wniosku, że był to atak ukierunkowany, a grupa Winnti zdecydowała się ponownie spenetrować sieć firmy. Administratorzy systemu zainicjowali awaryjny tryb pracy, aby powstrzymać złośliwe oprogramowania przed dostaniem się do sieci. Potem ataki zaczęły uderzać jeden po drugim. Pokazało to prawdziwą naturę grupy Winnti: początkowo napastnicy nie zawracali sobie głowy organizacją wyrafinowanych ataków; dopiero po napotkaniu oporu, agresorzy zastosowali bardziej złożone podejście, za każdym razem starając się minimalizować wysiłek. Po początkowym ataku cyberprzestępcy zaczęli wysyłać archiwa 7z, lzh i tbz zawierające samorozpakowujące się archiwa RAR i 7zip (ze szkodnikiem PlugX wewnątrz) o nazwach:

    • archiwum Company Profile.7z, zawierające spakowane archiwum RAR 2013plan.exe z plikiem zwanym 11.EXE, który z kolei zawierał archiwum CAB z komponentami PlugX. Ponadto, w zasobach 11.EXE znaleziony został krótki fragment filmu porno;

    • archiwum MyPhotos.7z, zawierające zdjęcia i plik myphotos\myphotos.exe;

    • archiwum Resume.7z, zawierające plik Resume.exe;

    • archiwum Documents.7z, zawierające plik My Documents.exe;

    • archiwum Programm.7z, zawierające plik Programm.exe;

    • archiwum _____.lzh, zawierające plik Desktop.exe;

  • archiwum Desktops.7z, zawierające plik FreeWord.doc i samorozpakowujące się archiwum RAR zwane Documents.exe.
FreeWord.doc rzeczywiście nie jest dokumentem aplikacji MS Word tylko obrazem JPEG: 

    • archiwum 21. Dezember 2012.tbz, zawierające dokument o nazwie 21. Dezember 2012.doc i plik Dezember.exe;

    • archiwum Game Creative Board.pdf.7z, zawierające dokumenty Game Creative Board.pdfGame Creative Board 1.pdf i Game Creative Board 2.pdf, które rzeczywiście są dokumentami aplikacji Microsoft Word, oraz plik Game Creative Board.exe;

    • archiwum Work.7z, zawierające pliki My work.exe i Work.exe;

  • archiwum My work.rar, zawierające pliki My doc.exe i My ppt.exe;

Ataki były tak intensywne, że administratorzy systemu musieli uciekać się do skrajnych środków i blokować załączniki wiadomości przed dostarczeniem ich do firmowych skrzynek pocztowych. Napastnicy odpowiedzieli w bardzo prosty sposób: wysłali wiadomości do pracowników firmy, wyjaśniając – zgodnie zresztą z prawdą – że załączniki nie dotarły do skrzynek odbiorców i prosząc ich o kliknięcie odsyłacza zamieszczonego w powtórnej wiadomości, pobranie archiwum i otwarcie go. Archiwa ze szkodliwą zawartością umieszczone były na skompromitowanej witrynie www.linfairrecords.com. Próba była jednorazowa: napastnicy później zmienili swoją taktykę i nigdy więcej nie pojawiły się podobne wiadomości.

Po raz pierwszy od czasu rozpoczęcia kampanii ponownego infekowania sieci napastnicy postanowili bardziej się postarać i wymyślili coś nietypowego. Zaczęli w imieniu innych pracowników wysyłać wiadomości na prywatne skrzynki pocztowe pracowników firmy. Aby wiadomości były bardziej przekonujące, zawierały one zdjęcia tych pracowników, w imieniu których były wysyłane. Naturalnie, załączniki zawierały ten sam ładunek PlugX. Jednakże, pracownicy firmy zostali ostrzeżeni o trwających atakach, więc ta sztuczka nie uszła niezauważona. Należy mieć na uwadze, że atakowana firma produkująca gry wideo nie była zlokalizowana w kraju anglojęzycznym, więc jej pracownicy nie byli „native speakerami” języka angielskiego. W tej sytuacji wyglądałoby to dziwnie, gdy pracownicy zaczęli wysyłać sobie nawzajem e-maile w języku angielskim. Napastnicy zdawali sobie z tego sprawę, więc wiadomości zostały napisane w ojczystym języku odbiorców. Początkowe wersje wiadomości e-mail były napisane bardzo kiepsko, co pokazywało, że autorzy nie pisali w swoim własnym języku. Później cyberprzestępcy poprawili tekst tak, aby wyglądał w miarę przyzwoicie.

Omawiane ataki były regularnie powtarzane przez prawie trzy miesiące. Chociaż większość z tych spear-phishingowych prób nie była zbyt wyrafinowana i przekonywująca (wiadomości e-mail natychmiast wywoływały podejrzenia kompetentnych użytkowników), to jednak trafiając do dużej grupy ofiar (firma zatrudniała spory zespół ludzi), atak odnosił pewne efekty: jeden z pracowników firmy nie zauważył niczego podejrzanego w jednym z odebranych komunikatów i uruchomił załączony złośliwy program. Przetworzyliśmy, przeanalizowaliśmy i prześledziliśmy wszystkie warianty szkodliwego oprogramowania przesyłane w tych wiadomościach e-mail. W związku z tym, wiedzieliśmy o wszystkich centrach kontroli, wykorzystywanych przez wysyłane złośliwe oprogramowanie. Więc, kiedy backdoor na zainfekowanym komputerze pracownika firmy próbował połączyć się ze swoim serwerem C&C, zostało to wykryte przez administratorów systemu i zainfekowany komputer został natychmiast zidentyfikowany i odizolowany od sieci korporacyjnej.

W wyniku tych starań ataki dobiegły końca. Z jednej strony, była to dobra wiadomość, ale z drugiej – cyberprzestępcy co prawda przestali atakować ofiary poprzez pocztę elektroniczną, ale czy zupełnie zaprzestali oni prób wniknięcia do sieci firmowej? Prawdopodobnie, w międzyczasie brali pod uwagę bardziej wiarygodne wektory infekcji. Chociaż sytuacja z wiadomościami e-mail została ustabilizowana, powinno się teraz mieć na uwadze, że atakujący mogą uciec się do całkowicie nowych metod. Nie jest jasne, skąd mogą nadejść nowe ataki – więc konieczna jest czujność i ostrożność.

W tym miejscu postaramy się odpowiedzieć na pytanie: czy za drugą falą ataków, mających na celu infekcję sieci szkodnikiem PlugX, stała grupa Winnti? Być może był to inny zespół, całkowicie oddzielony od Winnti? Istnieje kilka czynników, które sugerują, że jest to mało prawdopodobne.

1. Odstęp między atakami: sprawcy zaczęli wysyłać e-maile z załącznikiem PlugX dokładnie miesiąc po zablokowaniu dostępu do sieci firmowej. To samo przytrafiło się w innej firmie produkującej gry: niemal dokładnie miesiąc po usunięciu szkodnika Winnti, komputery firmowe zostały ponownie zainfekowane. Wydaje się, że po wykryciu obecności Winnti i oczyszczeniu sieci korporacyjnej ze szkodliwego oprogramowania, grupa Winnti na miesiąc pozostawia cel w spokoju.

2. Sprawcy rozpowszechniali wiadomości z PlugX wysyłając je na osobiste adresy pracowników i twierdząc, że nadawcami są ich współpracownicy. Wiadomości zawierały zdjęcia rzekomych nadawców. Wraz ze zdjęciami, wszystkie informacje dotyczące osobistych skrzynek pocztowych mogły zostać zebrane podczas początkowej obecności grupy Winnti na firmowych stacjach roboczych.

3. Wykryliśmy próbki PlugX, które zostały podpisane certyfikatami skradzionymi dwóm różnym firmom produkującym gry: MGAME i ESTsoft – obie te firmy pochodzą z Korei Południowej i są związane z przemysłem gier komputerowych.

4. Poza tym ESTsoft jest twórcą i wydawcą gry MMORPG „CABAL Online”. W Kaspersky Lab regularnie otrzymujemy powiadomienia z KSN o próbkach Winnti wykrywanych w pakietach dystrybucyjnych klienta gry CABAL. Nazwy kilku regionalnych partnerów firmy ESTsoft figurują w etykietach złośliwego oprogramowania Winnti, definiując cel ataku szkodnika.

5. Wykryliśmy „żywe” domeny trzeciego poziomu w strefach centrum kontroli Winnti: 

est.gasoft.us 
est.gcgame.info 
est.zzsoft.info
 

Pisaliśmy wcześniej o tym, że grupa Winnti ustawicznie tworzyła domeny C&C trzeciego poziomu w ten sposób, że nazwy sub domen były zbieżne z nazwami infekowanych firm. To sugeruje, że domeny wymienione powyżej zostały prawdopodobnie utworzone w celu zarządzania zainfekowanymi komputerami firmy ESTsoft.

6. Podczas badania szkodników z rodziny PlugX wykryliśmy poniższe centra kontroli zdefiniowane w próbkach PlugX: 

bot.jgame.in 
bot.dongevil.info 
udp.jjevil.com
 

Nazwa domeny jgame.in oczywiście ma coś wspólnego z tematyką gier. Wiele z domen Winnti zostało zarejestrowanych z wykorzystaniem adresu e-mail: evilsex@gmail.com. Kolejne dwie domeny, dongevil.info i jjevil.com, mogły zostać zarejestrowane przez tę samą osobę – kogoś, kto wyraźnie bardzo lubi używać w nazwach słowa „evil” (z ang. „zły”, „złośliwy”).

7. Kolejna próbka, która została wykryta, zawierała informacje o następujących centrach kontroli: 

bot.xiaotian123.com 
kr.jjevil.com 
jj.nexon-nss.com
 

Oczywiście, domena jj.nexon-nss.com jest powiązana z nexon-nss.com. Wiemy również o poniższych centrach kontroli Winnti: 

nexoncorp.us 
nexongame.net 
nexononline.com
 

NEXON Corporation jest firmą związaną z branżą gier. Przed chwilą przypomnieliśmy, że grupa Winnti group lubi nazywać swoje domeny centrum kontroli w ten sposób, aby nazwy kojarzyły się domenami witryn internetowych firm z branży gier. Co więcej, nazwa NEXON została znaleziona w etykietach celów w kilku próbkach złośliwego oprogramowania Winnti.

8. Strefy centrum kontroli PlugX: dongevil.info i jjevil.com zostały zarejestrowane na adres e-mail: huise123@yahoo.com. Ten sam adres został użyty dla domeny: ibmsupport.net. Istnieje inne centrum kontroli Winnti: ibm-support.net zarejestrowane na adres:whoismydns@gmail.com. Istnieje pewne podobieństwo: 

ibmsupport.net <-> ibm-support.net
huise123@yahoo.com <-> whoismydns@gmail.com
 (na podstawie danych WHOIS)

9. Na drugi dzień, kiedy ten artykuł był przygotowywany do publikacji, wykryliśmy próbkę PlugX zawierającą poniższe centra kontroli: 

tank.hja63.com 
tho.pad62.com
 

Podane strefy były lokalizacjami domen, które łączyły się z backdoorami Winnti, znalezionymi na zainfekowanych komputerach firmy: 

tank.hja63.com (całkowita zgodność z centrum kontroli PlugX) 
soft.hja63.com 
ru.pad62.com
 

Obie domeny – hja63.com i pad62.com – zostały zarejestrowane na jeden i ten sam adres e-mail – huisengaunr@sina.com. Po zebraniu powyższych ustaleń otrzymujemy następujący diagram:


Korelacja pomiędzy Winnti i PlugX

Te dane upewniają nas w tym, że to grupa Winnti zaatakowała wiadomościami z PlugX firmę produkującą gry komputerowe. Grupa próbowała wrócić miesiąc po tym, jak odcięliśmy ją od dostępu do firmowych komputerów. Ponadto, data kompilacji głównego składnika funkcjonalnego próbki PlugX (która zawierała domeny w strefach, które mają zastosowanie zarówno do PlugX, jak i Winnti) to 21 maja 2012 r., co oznacza, że grupa Winnti korzystała ze złośliwego narzędzia zdalnej administracji PlugX przynajmniej od maja 2012 r. Wśród wszystkich wykrytych przez nas wariantów złośliwego oprogramowania PlugX, kompilacje wcześniejszych próbek PlugX – które według nas były dystrybuowane przez członków grupy Winnti – datowane są na początek maja 2012 r. Jednak nie jest jasne, czy istnieje jedna organizacja, która łączy grupę Winnti (atakującą firmy produkujące gry) i inne organizacje cyberprzestępcze, wykorzystujące PlugX przeciwko celom politycznym i rządowym. Mocno wierzymy, że obie te frakcje są ze sobą jakoś powiązane. Być może niektórzy członkowie grupy pracowali na oboma projektami; niektórzy mogli działać w jednej grupie, a następnie przenieść się do innej, wnosząc swoje doświadczenie i materiał – to może również wyjaśniać powiązanie.

W naszym pełnym raporcie (w języku angielskim) dotyczącym działań grupy Winnti napisaliśmy, że podczas poszukiwania śladów pozostawionych przez jednego z członków grupy w internecie, natknęliśmy się na oferty pracy publikowane na chińskim forum hakerskim. Oto maszynowe tłumaczenie tej oferty:

Temat: Szukam badacza bezpieczeństwa informacji 
Od: Southland Sword
Data: 2012-04-06 00:38
Temat: Posada badacza bezpieczeństwa
Obowiązki:
1. Pełna penetracja celu samodzielnie lub z zespołem, w zależności od dostępnych zasobów;
2. Raport z testów penetracyjnych i rekomendacje;
Wymagania techniczne:
1. Wiedza z zakresu testów penetracyjnych, metod i procesów, biegłość w użytkowaniu różnych narzędzi do testów penetracyjnych;
2. Znajomość popularnych języków programowania WWW (asp, php, jsp), doświadczenie z zastosowania SQL-injection, XSS, popularnych exploitów sieciowych i znajomość łat bezpieczeństwa;
3. Doświadczenie w poszukiwaniu typowych luk w zabezpieczeniach we wszystkich rodzajach systemów operacyjnych i baz danych;
4. Dobre ustne i pisemne umiejętności językowe;
5. Umiejętność pracy w zespole; osoby, które stracą zaufanie, nie słuchają liderów i nie akceptują zasad zostaną wyrzucone;
Miejsce pracy: Guangdong (LUB Guangzhou Shenzhen)
Pakiet Baochibaozhu, stosunkowo sporo wolnego czasu.
Wynagrodzenie: miesięczny udział całkowitej ilości pracy i współpracy, ponad 1W.
Wolne stanowiska: 5 osób
Dla kandydatów: najpierw skontaktujcie się ze mną (przedstawcie doświadczenie zawodowe), po mojej kontroli CV zostaną przekazane do koordynatora, który zorganizuje prywatne spotkanie.
Warunki: darmowe posiłki i zakwaterowanie, biuro znajduje się w willi o powierzchni 200 metrów kwadratowych, komputery są dostępne, ale proszę przynieść własne nośniki z narzędziami, z którymi jesteście zaznajomieni. Nawet pojedynczy, zakończony sukcesem projekt zapewni Wam pieniądze na miesięczne wydatki. 
Potężne wsparcie. Zero komentarza!
Osoby kompetentne prosimy o kontakt:
Adres e-mail: Infosec@cntv.cn, komunikator QQ: admin@inessus.com

Członek grupy Winnti, który regularnie odwiedzał to forum, odpisał: „Czy czasem nie rekrutujecie ludzi do APT? Guangzhou jest za daleko, ale i tak dołączę.” Było też kilka ciekawych komentarzy w wątku na forum, dotyczących odniesienia do „potężnego wsparcia” obiecywanego w ofercie pracy. Niektórzy ludzie komentujący wątek spekulowali, że może to oznaczać, że praca jest wspierana przez rząd.

Jest oczywiste, że docelowym obiektem ataków ma być dynamicznie rozwijająca się firma w Chinach. Nie ma wątpliwości, że istnieje jakaś forma współpracy pomiędzy niektórymi gangami, taka jak dzielenie się informacjami i narzędziami, a nawet „wypożyczanie” członków grupy. Zwykli pracownicy prawdopodobnie migrują z jednej grupy lub organizacji przestępczej do drugiej. Jest to wyraźnie trudna sytuacja, którą może poprawić jedynie dobra wola działaczy politycznych i interwencja organów ścigania.