В классификации APT сам Джигурда ногу сломит. Поскольку точно подтвержденных данных в наличие у инфосек вендоров немного, то при рассмотрении крупных хакерских групп, используемых ими инструментов и осуществляемых ими операций многие отпускают свою фантазию на волю.
В качестве примера – очевидно, что каждая хакерская группа не будет использовать исключительно эксклюзивный инструментарий. Нет, безусловно такой присутствует и в достаточном количестве. Но очень часто бывают и пересечения, часть вредоносов свободно распространяется или продается на хакерских форумах, часть эксплойтов циркулирует в приватах и реализуется за большие деньги и т.д. и т.п.
Тем не менее, периодически встречаются умозаключения экспертов типа «группа X использует вредонос Y, и группа Z использует вредонос Y, значит X=Z». А исходники вредоноса Y при этом валяются на GitHub. Мы сейчас не шутим, это реальный случай.
Другим интересным моментом является тот факт, что, как правило, инфосек вендоры не делятся промежуточными результатами своих расследований. А расследования эти долгие, не один месяц. Вот и получается, что когда все публикуют отчеты, то одна и та же APT или ее кибероперация внезапно становится и Лазурной Пандой, и Кристальным Мустангом, да еще и какой-нибудь Медузой в придачу.
Из-за всего этого и создается существенная путаница в названиях APT и приписываемых им деяниях.
Поэтому же существует и смешение между двумя группами – Winnti и APT41. И мы попробуем разобраться, в чем же дело.
Начнем с APT41 aka Double Dragon.
Но сначала дадим определение одному из ключевых терминов: TTP (Tactics, Techniques and Procedures) – подход к анализу деятельности APT, используемый также для их профилирования. Сравнивая различные TTPs, используемые при кибератаке, можно с большей или меньшей степенью достоверностью привязать ее к той или иной APT.
Активность APT41 отмечается с 2012 года. Основная (но далеко не единственная) используемая технология – целевой фишинг. Предполагается, что группа является коммерческой, но в то же время активно сотрудничает с китайскими государственными органами, проводя кибероперации в их интересах. Совмещение коммерческой и государственной составляющих, которое, как мы понимаем, в КНР не приветствуется ни в одной из сфер жизни, выделяет Double Dragon среди других китайских акторов.
Кампании APT41 были ориентированы на отрасли здравоохранения, телекоммуникаций и высоких технологий, медиа и пр., а также, само собой, государственные и политические структуры. Параллельно с этим группа проводила коммерческие атаки на производителей видеоигр в целях манипуляции с кибервалютой и развертывала сети криптомайнеров. Причем нацеленность на видеоигры является одной из превалирующих характеристик APT41.
Целями группы являлись организации в более чем 10 странах – США, Великобритании, Франции, Италии, Японии, Южной Корее, Сингапуре, Тайланде, ЮАР и др.
Группа очень талантлива и активна. Анализ TTPs, которые она применяла в различных операциях, с большой долей вероятности указывает на то, что группа изначально была именно коммерческой. И уже потом китайские спецслужбы приколотили ей уши. Так, некоторые уникальные приемы были разработаны и опробованы APT41 в более ранних коммерческих атаках, а позже использовались в кампаниях, связанных с кибершпионажем.
Предположительно сращивание APT41 с китайскими государственными структурами произошло в 2014 году. Интересно, конечно, было бы поглядеть на китайские новости борьбы с хакерами за тот период, может быть и всплыла бы какая новость о пресечении деятельности местной хакерской группы. Но мы, к сожалению, китайским не владеем.
Что касается конкретных атак APT41, то их просто огромное количество. И несмотря на то, что мы не будем рассматривать их все, а хотим остановиться на самых интересных, вместить все в один и даже в два поста не представляется возможным.
Поэтому рассмотрим кибероперации Double Dragon в следующий раз.
#APT #APT41 #DoubleDragon
В качестве примера – очевидно, что каждая хакерская группа не будет использовать исключительно эксклюзивный инструментарий. Нет, безусловно такой присутствует и в достаточном количестве. Но очень часто бывают и пересечения, часть вредоносов свободно распространяется или продается на хакерских форумах, часть эксплойтов циркулирует в приватах и реализуется за большие деньги и т.д. и т.п.
Тем не менее, периодически встречаются умозаключения экспертов типа «группа X использует вредонос Y, и группа Z использует вредонос Y, значит X=Z». А исходники вредоноса Y при этом валяются на GitHub. Мы сейчас не шутим, это реальный случай.
Другим интересным моментом является тот факт, что, как правило, инфосек вендоры не делятся промежуточными результатами своих расследований. А расследования эти долгие, не один месяц. Вот и получается, что когда все публикуют отчеты, то одна и та же APT или ее кибероперация внезапно становится и Лазурной Пандой, и Кристальным Мустангом, да еще и какой-нибудь Медузой в придачу.
Из-за всего этого и создается существенная путаница в названиях APT и приписываемых им деяниях.
Поэтому же существует и смешение между двумя группами – Winnti и APT41. И мы попробуем разобраться, в чем же дело.
Начнем с APT41 aka Double Dragon.
Но сначала дадим определение одному из ключевых терминов: TTP (Tactics, Techniques and Procedures) – подход к анализу деятельности APT, используемый также для их профилирования. Сравнивая различные TTPs, используемые при кибератаке, можно с большей или меньшей степенью достоверностью привязать ее к той или иной APT.
Активность APT41 отмечается с 2012 года. Основная (но далеко не единственная) используемая технология – целевой фишинг. Предполагается, что группа является коммерческой, но в то же время активно сотрудничает с китайскими государственными органами, проводя кибероперации в их интересах. Совмещение коммерческой и государственной составляющих, которое, как мы понимаем, в КНР не приветствуется ни в одной из сфер жизни, выделяет Double Dragon среди других китайских акторов.
Кампании APT41 были ориентированы на отрасли здравоохранения, телекоммуникаций и высоких технологий, медиа и пр., а также, само собой, государственные и политические структуры. Параллельно с этим группа проводила коммерческие атаки на производителей видеоигр в целях манипуляции с кибервалютой и развертывала сети криптомайнеров. Причем нацеленность на видеоигры является одной из превалирующих характеристик APT41.
Целями группы являлись организации в более чем 10 странах – США, Великобритании, Франции, Италии, Японии, Южной Корее, Сингапуре, Тайланде, ЮАР и др.
Группа очень талантлива и активна. Анализ TTPs, которые она применяла в различных операциях, с большой долей вероятности указывает на то, что группа изначально была именно коммерческой. И уже потом китайские спецслужбы приколотили ей уши. Так, некоторые уникальные приемы были разработаны и опробованы APT41 в более ранних коммерческих атаках, а позже использовались в кампаниях, связанных с кибершпионажем.
Предположительно сращивание APT41 с китайскими государственными структурами произошло в 2014 году. Интересно, конечно, было бы поглядеть на китайские новости борьбы с хакерами за тот период, может быть и всплыла бы какая новость о пресечении деятельности местной хакерской группы. Но мы, к сожалению, китайским не владеем.
Что касается конкретных атак APT41, то их просто огромное количество. И несмотря на то, что мы не будем рассматривать их все, а хотим остановиться на самых интересных, вместить все в один и даже в два поста не представляется возможным.
Поэтому рассмотрим кибероперации Double Dragon в следующий раз.
#APT #APT41 #DoubleDragon
Сегодня мы продолжим разговор о APT 41 aka Double Dragon, работающую на китайское правительство. Сразу скажем, что информации вагон, поэтому подготовка постов занимает достаточно много времени.
Итак, как мы говорили китайская APT 41 весьма деятельна и за время своего существования проводила множество киберопераций как в государственных интересах, так и в коммерческих целях.
Атаки, связанные с интересами китайского государства, проводились группой в широком спектре. Там были и операции в отношении целевых компаний из различных отраслей (ИТ, фарма, медиа), разведывательное сопровождение сделок M&A, связанных с китайскими фирмами, работа в отношении гонконгских активистов и организаций, замеченных в антикитайских настроениях и пр.
Коммерческие киберкампании часто были связаны с индустрией видеоигр, представителей которой APT 41 ломают не только с целью заработать денег на манипуляциях с игровой валютой, но и в качестве атак на цепочку поставок.
Кстати, мы еще не давали определение этому термину. Без лишних мудрствований, атака на цепочку поставок – это атака на производителей/поставщиков программного обеспечения в целях внедрения в него своего вредоносного кода, дабы в дальнейшем взломать потребителей этого ПО.
Например, в 2014 году участники Double Dragon взломали одного из азиатских дистрибьюторов видеоигр, в результате чего в установщики трех игр, Path of Exile, League of Legends и FIFA Online 3, был внедрен бэкдор SOGU. Соответственно, были заражены все покупатели данных видеоигр.
Вообще говоря, мы бы назвали APT 41 одними из лидеров по атакам на цепочку поставок. Действительно, эта группа реализовала (или подозревается в реализации) нескольких крупнейших подобных киберопераций.
Начнем с атаки на CCleaner.
В сентябре 2017 года ресерчеры Cisco Talos сделали ужасающее открытие - установщик популярной утилиты CCleaner, предназначенной для очистки и оптимизации Windows и производимой британской компанией Piriform, оказался скомпрометирован и заражен бэкдором.
Пикантности ситуации придавало то, что за пару месяцев до этого Piriform была приобретена известным чешским инфосек вендором Avast, выпускающим одноименный антивирус. А еще больше остроты – то, что израильская компания Morphisec предупредила Avast о проблеме еще в августе 2017 года, на что последние по каким-то причинам не обратили внимание.
В результате последующего большого расследования, в котором Avast активно сотрудничала с правоохранительным органами, выяснилось, что в период с 15 августа по 15 сентября 2017 года зараженный инсталятор CCleaner был загружен более 2,27 млн раз. А само проникновение в сеть Piriform произошло еще в марте 2017 года, после чего хакеры тщательно готовились к дальнейшим этапам своей кибероперации. Первоначальный взлом Piriform был произведен с помощью атаки на TeamViewer, ПО для удаленной работы.
Распотрошив при помощи ФБР один из управляющих серверов, Avast выяснили, что одним из векторов атаки являлись технологические и телекоммуникационные компании Японии, Тайваня, Великобритании, Германии и США. Среди них – Samsung, Sony, Intel, Vmware.
Ряд TTPs, применяемых в процессе атаки на CCleaner достаточно весомо указывал на APT 41, а также на другую китайскую группу, APT 17, она же, по некоторым данным, Winnti, а также Axiom (но это не точно).
Кстати, спустя ровно 2 года с того момента как компания Avast накрыла управляющий сервер вредоноса, внедренного в CCleaner, ее внутренняя сеть была скомпрометирована через подломанную временную учетку VPN. В ходе атаки хакерам удалось повысить свои права до администратора домена, то есть фактически захватить сеть. Предположений по группе, ответственной за атаку, у Avast не было и они назвали эту операцию Abiss.
В марте 2018 года Avast заявили, что, согласно дальнейшему расследованию, атака на CCleaner была связана с кампанией ShadowPad, о которой команда GReAT Лаборатории Касперского заявила в августе 2017 года.
#APT #APT41 #DoubleDragon #APT17 #Winnti
Итак, как мы говорили китайская APT 41 весьма деятельна и за время своего существования проводила множество киберопераций как в государственных интересах, так и в коммерческих целях.
Атаки, связанные с интересами китайского государства, проводились группой в широком спектре. Там были и операции в отношении целевых компаний из различных отраслей (ИТ, фарма, медиа), разведывательное сопровождение сделок M&A, связанных с китайскими фирмами, работа в отношении гонконгских активистов и организаций, замеченных в антикитайских настроениях и пр.
Коммерческие киберкампании часто были связаны с индустрией видеоигр, представителей которой APT 41 ломают не только с целью заработать денег на манипуляциях с игровой валютой, но и в качестве атак на цепочку поставок.
Кстати, мы еще не давали определение этому термину. Без лишних мудрствований, атака на цепочку поставок – это атака на производителей/поставщиков программного обеспечения в целях внедрения в него своего вредоносного кода, дабы в дальнейшем взломать потребителей этого ПО.
Например, в 2014 году участники Double Dragon взломали одного из азиатских дистрибьюторов видеоигр, в результате чего в установщики трех игр, Path of Exile, League of Legends и FIFA Online 3, был внедрен бэкдор SOGU. Соответственно, были заражены все покупатели данных видеоигр.
Вообще говоря, мы бы назвали APT 41 одними из лидеров по атакам на цепочку поставок. Действительно, эта группа реализовала (или подозревается в реализации) нескольких крупнейших подобных киберопераций.
Начнем с атаки на CCleaner.
В сентябре 2017 года ресерчеры Cisco Talos сделали ужасающее открытие - установщик популярной утилиты CCleaner, предназначенной для очистки и оптимизации Windows и производимой британской компанией Piriform, оказался скомпрометирован и заражен бэкдором.
Пикантности ситуации придавало то, что за пару месяцев до этого Piriform была приобретена известным чешским инфосек вендором Avast, выпускающим одноименный антивирус. А еще больше остроты – то, что израильская компания Morphisec предупредила Avast о проблеме еще в августе 2017 года, на что последние по каким-то причинам не обратили внимание.
В результате последующего большого расследования, в котором Avast активно сотрудничала с правоохранительным органами, выяснилось, что в период с 15 августа по 15 сентября 2017 года зараженный инсталятор CCleaner был загружен более 2,27 млн раз. А само проникновение в сеть Piriform произошло еще в марте 2017 года, после чего хакеры тщательно готовились к дальнейшим этапам своей кибероперации. Первоначальный взлом Piriform был произведен с помощью атаки на TeamViewer, ПО для удаленной работы.
Распотрошив при помощи ФБР один из управляющих серверов, Avast выяснили, что одним из векторов атаки являлись технологические и телекоммуникационные компании Японии, Тайваня, Великобритании, Германии и США. Среди них – Samsung, Sony, Intel, Vmware.
Ряд TTPs, применяемых в процессе атаки на CCleaner достаточно весомо указывал на APT 41, а также на другую китайскую группу, APT 17, она же, по некоторым данным, Winnti, а также Axiom (но это не точно).
Кстати, спустя ровно 2 года с того момента как компания Avast накрыла управляющий сервер вредоноса, внедренного в CCleaner, ее внутренняя сеть была скомпрометирована через подломанную временную учетку VPN. В ходе атаки хакерам удалось повысить свои права до администратора домена, то есть фактически захватить сеть. Предположений по группе, ответственной за атаку, у Avast не было и они назвали эту операцию Abiss.
В марте 2018 года Avast заявили, что, согласно дальнейшему расследованию, атака на CCleaner была связана с кампанией ShadowPad, о которой команда GReAT Лаборатории Касперского заявила в августе 2017 года.
#APT #APT41 #DoubleDragon #APT17 #Winnti
ShadowPad – это еще одна впечатляющая атака на цепочку поставок, в причастности к которой подозревается APT 41. В июле 2017 года ЛК выявили подозрительные запросы, осуществляемые легальным программным обеспечением для управления серверами, производимым компанией NetSarang.
В ходе разбирательства было установлено, что в одну из библиотек был внедрен вредоносный код, который после инсталляции посредством протокола DNS связывался с управляющим сервером и, в случае если зараженный сервер представлял интерес для хакеров, активировал бэкдор. Таким образом были заражены ресурсы сотен компаний по всему миру. Правда, активированный бэкдор удалось выявить только на одном сервере в Гонконге.
И опять ряд TTPs кибератаки указывал на группу Winnti, другие на APT 41.
У APT 41 был еще ряд интересных атак, о которых мы напишем чуть позже. Потому что у нас и так пост лопнул.
#APT #APT41 #DoubleDragon #APT17 #Winnti
В ходе разбирательства было установлено, что в одну из библиотек был внедрен вредоносный код, который после инсталляции посредством протокола DNS связывался с управляющим сервером и, в случае если зараженный сервер представлял интерес для хакеров, активировал бэкдор. Таким образом были заражены ресурсы сотен компаний по всему миру. Правда, активированный бэкдор удалось выявить только на одном сервере в Гонконге.
И опять ряд TTPs кибератаки указывал на группу Winnti, другие на APT 41.
У APT 41 был еще ряд интересных атак, о которых мы напишем чуть позже. Потому что у нас и так пост лопнул.
#APT #APT41 #DoubleDragon #APT17 #Winnti
Цель очевидна – иметь под рукой удобного болванчика, на которого, в случае необходимости, можно списать ту или иную киберкампанию. Иногда в геополитических целях, а иногда в целях сокрытия следов активности дружественных хакерских групп по созданию позиций для добывания разведывательной информации.
Собственно, это мы и наблюдаем, в этом году APT 41 уже была назначена виновной в "глобальной кампании по проникновению" через дырки в Citrix ADC и Gateway, а также маршрутизаторах Cisco.
За сим оставим пока китайские группы (хотя потом обязательно вернемся к ним).
#APT #APT41 #DoubleDragon
Собственно, это мы и наблюдаем, в этом году APT 41 уже была назначена виновной в "глобальной кампании по проникновению" через дырки в Citrix ADC и Gateway, а также маршрутизаторах Cisco.
За сим оставим пока китайские группы (хотя потом обязательно вернемся к ним).
#APT #APT41 #DoubleDragon