Поделиться
Восьмилетнее воровство военных данных обнаружили после ухода хакеров на пенсию
«Лаборатория Касперского» обнаружила кибершпионскую кампанию, направленную на военные и гражданские организации в несколько европейских, азиатских и африканских странах. Кампания была активна с 2009 по 2017 гг. и свернулась, вероятно, после публикации ShadowBrokers.
«Темная вселенная»
«Лаборатория Касперского» опубликовала обширное исследование ранее неизвестной APT-группировки, получившей весьма поэтичное название DarkUniverse («Темная вселенная»).
По всей видимости, группа вела активную деятельность с 2009 по 2017 гг., и была частью другой группировки, известной как ItaDuke. Об этом свидетельствуют «уникальные пересечения в коде». При этом степень достоверности этого утверждения в «Лаборатории» называют средней.
Обнаружить DarkUniverse удалось благодаря публикации известной группировки ShadowBrokers. Их пятая «утечка» под общим названием Lost In Translation содержала «интересный скрипт, проверяющий наличие следов других APT в скомпрометированной системе». Однако найти вредоносные инструменты DarkUniverse экспертам удалось только в 2018 г.
Судя по описанию, приведенному на SecureList, основным вектором заражения были узконаправленные фишинговые сообщения.
«Для каждой жертвы письмо специально подготавливалось так, чтобы привлечь ее внимание и побудить открыть вложенный документ Microsoft Office, содержащий зловред, — указывается в публикации “Лаборатории”. — Каждый изученный нами образец был скомпилирован непосредственно перед отправкой и включал последнюю доступную версию исполняемого файла вредоносного ПО».
Некоторые подробности
Жертвами атак стали не менее 20 гражданских и военных организаций, располагающихся в Сирии, Иране, Афганистане, Танзании, Эфиопии, Судане, России, Белоруссии и ОАЭ. В «Лаборатории» полагают, однако, что в течение основного периода активности жертв было намного больше.
Согласно выводам экспертов, DarkUniverse — пример полноценного фреймворка, содержащего «все необходимые модули для сбора всей возможной информации о пользователе и зараженной системе».
Разработанный с нуля, он совершенствовался на протяжении всех восьми лет активности, так что образцы 2009 и 2017 гг. не похожи друг на друга совершенно.
В последних «редакциях», датированных 2017 г., встроенный в документы исполняемый файл извлекал из себя два вредоносных файла: updater.mod и glue30.dll. Оба файла сохранялись в пользовательском каталоге \AppData\Roaming\Microsoft\Windows\Reorder. После этого исполняемый файл копировал легальное приложение rundll32.exe в ту же папку и использовал его для старта библиотеки updater.mod.
Эта библиотека отвечает за обеспечение связи с командным сервером, обеспечение постоянного присутствия (для чего в папку автозагрузки помещается символьная ссылка) и целостности, а также за управление другими вредоносными модулями.
Характерно, что для каждой жертвы операторы кампании создавали уникальный C&C-сервер — как правило, в облачном хранилище mydrive.ch, принадлежащем швейцарской фирме SoftronicsCommunicationsAG. Туда же загружались дополнительные вредоносные модули.
В публикации «Лаборатории» упоминаются три таких модуля: кейлоггер glue30.dll, msvcrt58.sqt — модуль для сбора учетных записей жертв и электронных писем, а также dfrgntfs5.sqt — модуль для установления связи с контрольным сервером и исполнения команд с него.
Модуль msvcrt58.sqt перехватывает незашифрованный POP3-трафик для сбора учетных записей жертв и электронных писем. Для этого он отслеживает процессы наиболее распространенных почтовых клиентов и мессенджеров: Outlook Express, Outlook, Internet Explorer, Windows Mail и Windows Live Mail, Windows Live Messenger.
Модуль glue30.dll внедряется в процессы, получающие ввод с клавиатуры, и перехватывает набранный текст. Последний модуль является самым многофункциональным компонентом DarkUniverse, через который производится сбор данных из системного реестра, сбор и расшифровка учетных данных , а также из кэша InternetCache, отправка собранных в целевой системе данных на C&C и обновление других модулей. Этот модуль также позволяет отслеживать обновление определенных файлов в системе.
Сворачиваем удочки, нас заметили
На данный момент кампания не активна. «Приостановка данной активности может быть связана с публикацией утечки «Lostintranslation» или, возможно, злоумышленники просто решили перейти на более современные подходы и начать использовать более широко доступные артефакты для своих операций», — говорится в публикации «Лаборатории Касперского».
«Успешность кибершпионских операций в целом определяется эффективностью первичного заражения, временем, проходящим с момента запуска операции до ее обнаружения и, естественно, объемом данных, которых с их помощью удается получить, — отмечает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — DarkUniverse обнаружили только после окончания ее деятельности, и это означает, что ее успешность была крайне высокой. Уникальные серверы и тонкая настройка вредоноса для каждой жертвы, в свою очередь, свидетельствуют о весьма высоком уровне подготовки операторов кампании».
Поделиться
Короткая ссылка
