ZDNet сообщает, что APT Winnti, вероятно, нацелилась на производителя известной корейской онлайн-игры Ragnarok Online.
Данный вывод сделан из отчета немецкой инфосек компании QuoIntelligence, которая исследовав выявленный в конце февраля образец дроппера, предположительно принадлежащего Winnti, выявила в нем строку "0x1A0: "GRAVITY".
Проведя мозговой штурм, исследователи из Франкфурта-на-Майне пришли к выводу, что эта строчка относится к южнокорейской компании Gravity Co., Ltd, производителя Ragnarok Online.
Тут сразу надо дать пояснения.
Вот мы беглым поиском нашли кроме корейского производителя онлайн-игр еще и американскую компанию Gravity Payments, осуществляющую денежные переводы и имевшую в 2018 году оборот в 10,2 млрд. долларов. А также компанию Gravity Industries, производителя джетпаков.
Почему же немцы не предположили, что китайцев (а Winnti - это китайская APT) заинтересовали, например, технологии производства джетпаков?
А вот почему. Исследователи из QuoIntelligence уверены, что Winnti и APT41 это одна и та же группа. А уже APT41 действительно, по некоторым данным, специализировалась на производителях видеоигр. Между тем, это совсем не факт.
Некоторые инфосек вендоры, например ESET, допускали, что Winnti в той или иной мере ассоциированы с APT41. А тот же FireEye считает, что это разные группы и именует APT41 как DoubleDragon.
Но новость уже разошлась и все пишут, что Winnti aka APT41 атакует Ragnarok Online.
Вот такая она, эта индустрия инфосек новостей.
А мы, пожалуй, следующими рассмотрим как раз APT41 и Winnti. Тем более, что они в последнее время достаточно активны.
#APT #Winnti #APT41
Данный вывод сделан из отчета немецкой инфосек компании QuoIntelligence, которая исследовав выявленный в конце февраля образец дроппера, предположительно принадлежащего Winnti, выявила в нем строку "0x1A0: "GRAVITY".
Проведя мозговой штурм, исследователи из Франкфурта-на-Майне пришли к выводу, что эта строчка относится к южнокорейской компании Gravity Co., Ltd, производителя Ragnarok Online.
Тут сразу надо дать пояснения.
Вот мы беглым поиском нашли кроме корейского производителя онлайн-игр еще и американскую компанию Gravity Payments, осуществляющую денежные переводы и имевшую в 2018 году оборот в 10,2 млрд. долларов. А также компанию Gravity Industries, производителя джетпаков.
Почему же немцы не предположили, что китайцев (а Winnti - это китайская APT) заинтересовали, например, технологии производства джетпаков?
А вот почему. Исследователи из QuoIntelligence уверены, что Winnti и APT41 это одна и та же группа. А уже APT41 действительно, по некоторым данным, специализировалась на производителях видеоигр. Между тем, это совсем не факт.
Некоторые инфосек вендоры, например ESET, допускали, что Winnti в той или иной мере ассоциированы с APT41. А тот же FireEye считает, что это разные группы и именует APT41 как DoubleDragon.
Но новость уже разошлась и все пишут, что Winnti aka APT41 атакует Ragnarok Online.
Вот такая она, эта индустрия инфосек новостей.
А мы, пожалуй, следующими рассмотрим как раз APT41 и Winnti. Тем более, что они в последнее время достаточно активны.
#APT #Winnti #APT41
ZDNet
Chinese hackers targeted company behind 'Ragnarok Online' MMORPG
Security firm finds new Chinese malware aimed at the Gravity game maker's network. Unclear if the attempted intrusion succeeded.
Сегодня мы продолжим разговор о APT 41 aka Double Dragon, работающую на китайское правительство. Сразу скажем, что информации вагон, поэтому подготовка постов занимает достаточно много времени.
Итак, как мы говорили китайская APT 41 весьма деятельна и за время своего существования проводила множество киберопераций как в государственных интересах, так и в коммерческих целях.
Атаки, связанные с интересами китайского государства, проводились группой в широком спектре. Там были и операции в отношении целевых компаний из различных отраслей (ИТ, фарма, медиа), разведывательное сопровождение сделок M&A, связанных с китайскими фирмами, работа в отношении гонконгских активистов и организаций, замеченных в антикитайских настроениях и пр.
Коммерческие киберкампании часто были связаны с индустрией видеоигр, представителей которой APT 41 ломают не только с целью заработать денег на манипуляциях с игровой валютой, но и в качестве атак на цепочку поставок.
Кстати, мы еще не давали определение этому термину. Без лишних мудрствований, атака на цепочку поставок – это атака на производителей/поставщиков программного обеспечения в целях внедрения в него своего вредоносного кода, дабы в дальнейшем взломать потребителей этого ПО.
Например, в 2014 году участники Double Dragon взломали одного из азиатских дистрибьюторов видеоигр, в результате чего в установщики трех игр, Path of Exile, League of Legends и FIFA Online 3, был внедрен бэкдор SOGU. Соответственно, были заражены все покупатели данных видеоигр.
Вообще говоря, мы бы назвали APT 41 одними из лидеров по атакам на цепочку поставок. Действительно, эта группа реализовала (или подозревается в реализации) нескольких крупнейших подобных киберопераций.
Начнем с атаки на CCleaner.
В сентябре 2017 года ресерчеры Cisco Talos сделали ужасающее открытие - установщик популярной утилиты CCleaner, предназначенной для очистки и оптимизации Windows и производимой британской компанией Piriform, оказался скомпрометирован и заражен бэкдором.
Пикантности ситуации придавало то, что за пару месяцев до этого Piriform была приобретена известным чешским инфосек вендором Avast, выпускающим одноименный антивирус. А еще больше остроты – то, что израильская компания Morphisec предупредила Avast о проблеме еще в августе 2017 года, на что последние по каким-то причинам не обратили внимание.
В результате последующего большого расследования, в котором Avast активно сотрудничала с правоохранительным органами, выяснилось, что в период с 15 августа по 15 сентября 2017 года зараженный инсталятор CCleaner был загружен более 2,27 млн раз. А само проникновение в сеть Piriform произошло еще в марте 2017 года, после чего хакеры тщательно готовились к дальнейшим этапам своей кибероперации. Первоначальный взлом Piriform был произведен с помощью атаки на TeamViewer, ПО для удаленной работы.
Распотрошив при помощи ФБР один из управляющих серверов, Avast выяснили, что одним из векторов атаки являлись технологические и телекоммуникационные компании Японии, Тайваня, Великобритании, Германии и США. Среди них – Samsung, Sony, Intel, Vmware.
Ряд TTPs, применяемых в процессе атаки на CCleaner достаточно весомо указывал на APT 41, а также на другую китайскую группу, APT 17, она же, по некоторым данным, Winnti, а также Axiom (но это не точно).
Кстати, спустя ровно 2 года с того момента как компания Avast накрыла управляющий сервер вредоноса, внедренного в CCleaner, ее внутренняя сеть была скомпрометирована через подломанную временную учетку VPN. В ходе атаки хакерам удалось повысить свои права до администратора домена, то есть фактически захватить сеть. Предположений по группе, ответственной за атаку, у Avast не было и они назвали эту операцию Abiss.
В марте 2018 года Avast заявили, что, согласно дальнейшему расследованию, атака на CCleaner была связана с кампанией ShadowPad, о которой команда GReAT Лаборатории Касперского заявила в августе 2017 года.
#APT #APT41 #DoubleDragon #APT17 #Winnti
Итак, как мы говорили китайская APT 41 весьма деятельна и за время своего существования проводила множество киберопераций как в государственных интересах, так и в коммерческих целях.
Атаки, связанные с интересами китайского государства, проводились группой в широком спектре. Там были и операции в отношении целевых компаний из различных отраслей (ИТ, фарма, медиа), разведывательное сопровождение сделок M&A, связанных с китайскими фирмами, работа в отношении гонконгских активистов и организаций, замеченных в антикитайских настроениях и пр.
Коммерческие киберкампании часто были связаны с индустрией видеоигр, представителей которой APT 41 ломают не только с целью заработать денег на манипуляциях с игровой валютой, но и в качестве атак на цепочку поставок.
Кстати, мы еще не давали определение этому термину. Без лишних мудрствований, атака на цепочку поставок – это атака на производителей/поставщиков программного обеспечения в целях внедрения в него своего вредоносного кода, дабы в дальнейшем взломать потребителей этого ПО.
Например, в 2014 году участники Double Dragon взломали одного из азиатских дистрибьюторов видеоигр, в результате чего в установщики трех игр, Path of Exile, League of Legends и FIFA Online 3, был внедрен бэкдор SOGU. Соответственно, были заражены все покупатели данных видеоигр.
Вообще говоря, мы бы назвали APT 41 одними из лидеров по атакам на цепочку поставок. Действительно, эта группа реализовала (или подозревается в реализации) нескольких крупнейших подобных киберопераций.
Начнем с атаки на CCleaner.
В сентябре 2017 года ресерчеры Cisco Talos сделали ужасающее открытие - установщик популярной утилиты CCleaner, предназначенной для очистки и оптимизации Windows и производимой британской компанией Piriform, оказался скомпрометирован и заражен бэкдором.
Пикантности ситуации придавало то, что за пару месяцев до этого Piriform была приобретена известным чешским инфосек вендором Avast, выпускающим одноименный антивирус. А еще больше остроты – то, что израильская компания Morphisec предупредила Avast о проблеме еще в августе 2017 года, на что последние по каким-то причинам не обратили внимание.
В результате последующего большого расследования, в котором Avast активно сотрудничала с правоохранительным органами, выяснилось, что в период с 15 августа по 15 сентября 2017 года зараженный инсталятор CCleaner был загружен более 2,27 млн раз. А само проникновение в сеть Piriform произошло еще в марте 2017 года, после чего хакеры тщательно готовились к дальнейшим этапам своей кибероперации. Первоначальный взлом Piriform был произведен с помощью атаки на TeamViewer, ПО для удаленной работы.
Распотрошив при помощи ФБР один из управляющих серверов, Avast выяснили, что одним из векторов атаки являлись технологические и телекоммуникационные компании Японии, Тайваня, Великобритании, Германии и США. Среди них – Samsung, Sony, Intel, Vmware.
Ряд TTPs, применяемых в процессе атаки на CCleaner достаточно весомо указывал на APT 41, а также на другую китайскую группу, APT 17, она же, по некоторым данным, Winnti, а также Axiom (но это не точно).
Кстати, спустя ровно 2 года с того момента как компания Avast накрыла управляющий сервер вредоноса, внедренного в CCleaner, ее внутренняя сеть была скомпрометирована через подломанную временную учетку VPN. В ходе атаки хакерам удалось повысить свои права до администратора домена, то есть фактически захватить сеть. Предположений по группе, ответственной за атаку, у Avast не было и они назвали эту операцию Abiss.
В марте 2018 года Avast заявили, что, согласно дальнейшему расследованию, атака на CCleaner была связана с кампанией ShadowPad, о которой команда GReAT Лаборатории Касперского заявила в августе 2017 года.
#APT #APT41 #DoubleDragon #APT17 #Winnti
ShadowPad – это еще одна впечатляющая атака на цепочку поставок, в причастности к которой подозревается APT 41. В июле 2017 года ЛК выявили подозрительные запросы, осуществляемые легальным программным обеспечением для управления серверами, производимым компанией NetSarang.
В ходе разбирательства было установлено, что в одну из библиотек был внедрен вредоносный код, который после инсталляции посредством протокола DNS связывался с управляющим сервером и, в случае если зараженный сервер представлял интерес для хакеров, активировал бэкдор. Таким образом были заражены ресурсы сотен компаний по всему миру. Правда, активированный бэкдор удалось выявить только на одном сервере в Гонконге.
И опять ряд TTPs кибератаки указывал на группу Winnti, другие на APT 41.
У APT 41 был еще ряд интересных атак, о которых мы напишем чуть позже. Потому что у нас и так пост лопнул.
#APT #APT41 #DoubleDragon #APT17 #Winnti
В ходе разбирательства было установлено, что в одну из библиотек был внедрен вредоносный код, который после инсталляции посредством протокола DNS связывался с управляющим сервером и, в случае если зараженный сервер представлял интерес для хакеров, активировал бэкдор. Таким образом были заражены ресурсы сотен компаний по всему миру. Правда, активированный бэкдор удалось выявить только на одном сервере в Гонконге.
И опять ряд TTPs кибератаки указывал на группу Winnti, другие на APT 41.
У APT 41 был еще ряд интересных атак, о которых мы напишем чуть позже. Потому что у нас и так пост лопнул.
#APT #APT41 #DoubleDragon #APT17 #Winnti
ESET, видимо, копались в своих прошлых исследованиях и обнаружили поразительное сходство в коде одного из инструментов, использованного в 2018 году в атаке на разработчика компьютерных игр из Тайланда, приписываемой группе Winnti, с аналогичным кодом из утечки Lost in Translation, организованной в 2017 году группой Shadow Brokers.
Напомним, что тогда Shadow Brokers выкинули в сеть инструментарий хакерской группы Equation, действующей под крышей АНБ.
И теперь у исследователей возникли вопросы - это китайская группа Winnti использовала утекшие из АНБ инструменты для взлома? Или Equation украли ранее их у Winnti? И вообще, насколько легко можно намерено ввести инфосек ресерчеров в заблуждение, подделывая признаки принадлежности TTPs другой хакерской группе?
А мы зададимся еще более провокационным вопросом - а можно ли быть уверенным, что некоторые операции, приписываемые китайским хакерским группам, на самом деле не проводились американцами?
Потому что в процессе изучения активности китайской же APT 41 у нас подобные мысли, чего греха таить, возникали.
#APT #Winnti #Equation
https://twitter.com/ESETresearch/status/1258353960781598721
Напомним, что тогда Shadow Brokers выкинули в сеть инструментарий хакерской группы Equation, действующей под крышей АНБ.
И теперь у исследователей возникли вопросы - это китайская группа Winnti использовала утекшие из АНБ инструменты для взлома? Или Equation украли ранее их у Winnti? И вообще, насколько легко можно намерено ввести инфосек ресерчеров в заблуждение, подделывая признаки принадлежности TTPs другой хакерской группе?
А мы зададимся еще более провокационным вопросом - а можно ли быть уверенным, что некоторые операции, приписываемые китайским хакерским группам, на самом деле не проводились американцами?
Потому что в процессе изучения активности китайской же APT 41 у нас подобные мысли, чего греха таить, возникали.
#APT #Winnti #Equation
https://twitter.com/ESETresearch/status/1258353960781598721
Twitter
#ESETresearch stumbled upon strange samples which use the packer we described in publications on the #Winnti Group. The payload in these samples is an implant attributed to Equation. It is known as PeddleCheap according to the project names seen in the Shadow…
Сегодня в ночи Коммерсант выпустил материал, в котором со ссылкой на Positive Technologies сообщил о том, что китайская APT Winnti активно пытается подломать российские компании, среди которых пять разработчиков банковского ПО и одна строительная фирма.
В целом статья грамотная, за исключением некоторых комментариев экспертов о том, что ранее Winnti не работали по российским компаниям - работали и не раз. Но про то, что Winnti - одни из "королей" атак на цепочку поставок, - абсолютная правда. Достаточно только вспомнить о компрометации расходящихся многомиллиоными тиражами утилит CCleaner и ASUS Live Update, а также про внедрение бэкдора SOGU в инсталляторы игр Path of Exile, League of Legends и FIFA Online 3.
Ну и про 50 зараженных Winnti компьютеров по всему миру смешно, конечно.
По идее, после выявления подобной масштабной атаки иностранной APT на российских разработчиков банковского ПО у офиса Позитивов сейчас должны стоять с мигалками машины ЦИБ ФСБ, БСТМ МВД и ЦБ, а в сети должны расходиться пресс-релизы о подробностях атак и используемых китайцами уязвимостях (как это делают американская CISA и британский NCSC).
Но не стоят. И пресс-релизов не будет. И такое отношение государства - самое страшное в отечественной информационной безопасности. Михаил Владимирович, может не надо цифровой экономики? Эту бы прикрыть.
#APT #Winnti
В целом статья грамотная, за исключением некоторых комментариев экспертов о том, что ранее Winnti не работали по российским компаниям - работали и не раз. Но про то, что Winnti - одни из "королей" атак на цепочку поставок, - абсолютная правда. Достаточно только вспомнить о компрометации расходящихся многомиллиоными тиражами утилит CCleaner и ASUS Live Update, а также про внедрение бэкдора SOGU в инсталляторы игр Path of Exile, League of Legends и FIFA Online 3.
Ну и про 50 зараженных Winnti компьютеров по всему миру смешно, конечно.
По идее, после выявления подобной масштабной атаки иностранной APT на российских разработчиков банковского ПО у офиса Позитивов сейчас должны стоять с мигалками машины ЦИБ ФСБ, БСТМ МВД и ЦБ, а в сети должны расходиться пресс-релизы о подробностях атак и используемых китайцами уязвимостях (как это делают американская CISA и британский NCSC).
Но не стоят. И пресс-релизов не будет. И такое отношение государства - самое страшное в отечественной информационной безопасности. Михаил Владимирович, может не надо цифровой экономики? Эту бы прикрыть.
#APT #Winnti
Коммерсантъ
Китайские хакеры вложились в разработку
Группировка Winnti атакует создателей софта для банков
В начале сентября Коммерсант выпустил материал, в котором со ссылкой на Positive Technologies сообщил о том, что китайская APT Winnti активно пытается подломать российские компании, среди которых пять разработчиков банковского ПО и одна строительная фирма. Мы тогда активно бомбили по поводу отсутствия внятной реакции российских госорганов на такую активность китайской хакерской группы.
Что же, американские правоохранители такой прокрастинацией не страдают, поэтому вчера Министерство юстиции США сообщило, что предъявлено обвинение пяти китайским хакерам - Чжану Хаорану, Тану Дайлиню, Цзяну Личжи, Цяню Чуаню и Фу Цяну, которые являются членами APT 41 aka Winnti (APT 41 - это классификация FireEye Mandiat, и, по нашему мнению, это не совсем одна и та же группа, ну да ладно).
Как бы то ни было, американцы отдеанонили пять членов очень активной и профессиональной китайской хакерской группы, работающей на подряде у государства, и теперь, вероятно, объявят их в международный розыск. Причем в сообщении Министерства юстиции прямо говорится, что один хвастался связями с Министерством госбезопасности Китая. Это может означать только одно - американцы вышли на легендированный прямой контакт с членами Winnti, в процессе которого, видимо, и получили доказательную базу.
Утверждается, что китайские хакеры использовали прикрытие в виде фирмы Chengdu 404 Network Technology.
Кроме этого, Министерство юстиции США в сотрудничестве с малазийскими правоохранительными органами захапало двух малазийских же бизнесменов, которые в сговоре с членами Winnti осуществили атаку на американских производителей видеоигр.
Также на основании решения Окружного суда округа Колумбия американцы бахнули используемую Winnti вредоносную инфраструктуру.
Основную скрипку в расследовании, как становится ясно из сообщения американского Минюста, играло ФБР.
Как говаривал товарищ Ленин - "Товарищи чекисты, учитесь делу борьбы с киберпреступностью настоящим образом."
#APT #Winnti
Что же, американские правоохранители такой прокрастинацией не страдают, поэтому вчера Министерство юстиции США сообщило, что предъявлено обвинение пяти китайским хакерам - Чжану Хаорану, Тану Дайлиню, Цзяну Личжи, Цяню Чуаню и Фу Цяну, которые являются членами APT 41 aka Winnti (APT 41 - это классификация FireEye Mandiat, и, по нашему мнению, это не совсем одна и та же группа, ну да ладно).
Как бы то ни было, американцы отдеанонили пять членов очень активной и профессиональной китайской хакерской группы, работающей на подряде у государства, и теперь, вероятно, объявят их в международный розыск. Причем в сообщении Министерства юстиции прямо говорится, что один хвастался связями с Министерством госбезопасности Китая. Это может означать только одно - американцы вышли на легендированный прямой контакт с членами Winnti, в процессе которого, видимо, и получили доказательную базу.
Утверждается, что китайские хакеры использовали прикрытие в виде фирмы Chengdu 404 Network Technology.
Кроме этого, Министерство юстиции США в сотрудничестве с малазийскими правоохранительными органами захапало двух малазийских же бизнесменов, которые в сговоре с членами Winnti осуществили атаку на американских производителей видеоигр.
Также на основании решения Окружного суда округа Колумбия американцы бахнули используемую Winnti вредоносную инфраструктуру.
Основную скрипку в расследовании, как становится ясно из сообщения американского Минюста, играло ФБР.
Как говаривал товарищ Ленин - "Товарищи чекисты, учитесь делу борьбы с киберпреступностью настоящим образом."
#APT #Winnti
www.justice.gov
Seven International Cyber Defendants, Including “Apt41” Actors, Charged In Connection With Computer Intrusion Campaigns Against…
In August 2019 and August 2020, a federal grand jury in Washington, D.C., returned two separate indictments charging five computer hackers, all of whom were residents and nationals of the People’s Republic of China (PRC), with computer intrusions affecting…
Как известно, мы очень любим истории про кибершпионаж, APT, различное специализированное ПО и все такое прочее. Наверное в детстве пересмотрели фильмов про хитрых шпионов и отважных разведчиков.
Сегодня Wired проанонсировали доклад на онлайн-конференции Kaspersky SAS, посвященный выявленному Касперскими руткиту, который перезаписывает UEFI-биос.
История началась еще в 2015 году, когда хактивист Phineas Fisher взломал ныне почившую в бозе итальянскую компанию Hacking Team, основанную в далеком 2003. Hacking Team была пионером на рынке легального взлома, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам. Компания быстро вышла за пределы национального рынка и на своей вершине в 2015 году поставляла программные продукты в 41 страну.
Phineas Fisher вскрыл сеть Hacking Team и в течение нескольких недель фильтровал сотни гигабайт данных, чтобы потом выкинуть кучу конфиденциальной информации в сеть. Среди них был и инструмент под названием VectorEDK, который фактически являлся UEFI-руткитом и устанавливался через непосредственный физический доступ к ПК.
И вот в начале этого года Касперские обнаружили на двух компьютерах в дипломатических организациях в Азии (конкретных пострадавших ЛК, понятное дело, не называет) шпионские UEFI-руткиты, основанные на VectorEDK. Они устанавливали вторичную нагрузку в виде авторского вредоноса MosaicRegressor.
На всякий случай напомним, чем опасны UEFI-руткиты. Они сидят в самой материнке и даже при обнаружении загружаемых ими вредоносов жертва практически никак не может почистить свою систему. Ни переустановка операционки, ни выдирание с болтами жестких дисков не помогут.
Конкретный способ заражения руткитом скомпрометированных ПК исследователи не выяснили. Скорее всего это был таки физический доступ. Однако MosaicRegressor был обнаружен и в ходе расследования других атак, причем в этих случаях способ его распространения был более традиционен - банальный фишинг.
Некоторые из TTPs указывают на принадлежность нового UEFI-руткита китайским хакерам. В то же время, по данным инфосек компании ProtectWise, использовавшаяся в фишинговой кампании по распространению MosaicRegressor инфраструктура принадлежит китайской APT Winnti, которая, согласно утверждению американцев, работает на госбезопасность КНР.
Ну и остается заметить, что это далеко не первый случай, когда утечка хакерских инструментов спецслужб или работающих на них компаний приводила к последующим атакам со стороны других хакерских групп. Достаточно вспомнить, что изначально принадлежащие АНБшной группе Equation эксплойт EternalBlue и бэкдор DoublePulsar стали основой для киберкампании WannaCry. А уже в этом году ESET неожиданно обнаружили поразительное сходство в коде одного из инструментов, использованного все той же Winnti в 2018 году, с аналогичным кодом из все той же утечки Lost in Translation хакерских инструментов все той же APT Equation.
Пора вводить новый закон Мерфи - "все плохое ПО, которое было разработано, рано или поздно будет использовано в еще худших целях".
#APT #Winnti
Сегодня Wired проанонсировали доклад на онлайн-конференции Kaspersky SAS, посвященный выявленному Касперскими руткиту, который перезаписывает UEFI-биос.
История началась еще в 2015 году, когда хактивист Phineas Fisher взломал ныне почившую в бозе итальянскую компанию Hacking Team, основанную в далеком 2003. Hacking Team была пионером на рынке легального взлома, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам. Компания быстро вышла за пределы национального рынка и на своей вершине в 2015 году поставляла программные продукты в 41 страну.
Phineas Fisher вскрыл сеть Hacking Team и в течение нескольких недель фильтровал сотни гигабайт данных, чтобы потом выкинуть кучу конфиденциальной информации в сеть. Среди них был и инструмент под названием VectorEDK, который фактически являлся UEFI-руткитом и устанавливался через непосредственный физический доступ к ПК.
И вот в начале этого года Касперские обнаружили на двух компьютерах в дипломатических организациях в Азии (конкретных пострадавших ЛК, понятное дело, не называет) шпионские UEFI-руткиты, основанные на VectorEDK. Они устанавливали вторичную нагрузку в виде авторского вредоноса MosaicRegressor.
На всякий случай напомним, чем опасны UEFI-руткиты. Они сидят в самой материнке и даже при обнаружении загружаемых ими вредоносов жертва практически никак не может почистить свою систему. Ни переустановка операционки, ни выдирание с болтами жестких дисков не помогут.
Конкретный способ заражения руткитом скомпрометированных ПК исследователи не выяснили. Скорее всего это был таки физический доступ. Однако MosaicRegressor был обнаружен и в ходе расследования других атак, причем в этих случаях способ его распространения был более традиционен - банальный фишинг.
Некоторые из TTPs указывают на принадлежность нового UEFI-руткита китайским хакерам. В то же время, по данным инфосек компании ProtectWise, использовавшаяся в фишинговой кампании по распространению MosaicRegressor инфраструктура принадлежит китайской APT Winnti, которая, согласно утверждению американцев, работает на госбезопасность КНР.
Ну и остается заметить, что это далеко не первый случай, когда утечка хакерских инструментов спецслужб или работающих на них компаний приводила к последующим атакам со стороны других хакерских групп. Достаточно вспомнить, что изначально принадлежащие АНБшной группе Equation эксплойт EternalBlue и бэкдор DoublePulsar стали основой для киберкампании WannaCry. А уже в этом году ESET неожиданно обнаружили поразительное сходство в коде одного из инструментов, использованного все той же Winnti в 2018 году, с аналогичным кодом из все той же утечки Lost in Translation хакерских инструментов все той же APT Equation.
Пора вводить новый закон Мерфи - "все плохое ПО, которое было разработано, рано или поздно будет использовано в еще худших целях".
#APT #Winnti
Wired
A China-Linked Group Repurposed Hacking Team’s Stealthy Spyware
The tool attacks a device’s UEFI firmware—which makes it especially hard to detect and destroy.
Positive Technologies выпустили отчет, в котором описали произошедшие в мае и июне 2020 года атаки за авторством китайской APT Winnti, одна из которых была направлена на российского разработчика игр Battlestate Game.
Атаки проводились путем рассылки фишинговых приманок, для Battlestate Game это были резюме соискателя на должность разработчика игр или менеджера баз данных. Кроме того, в одной из атак приманки имели русские названия, хотя и написанные коряво - "Электронный читатель резюме", например.
Согласно полученным TTPs, китайцы пытались использовать ложные флаги, маскируясь под северокорейскую APT Higaisa, однако дальнейший анализ позволил исследователям прийти к выводу, что это были именно Winnti.
Позитивы утверждают, что атака на Battlestate Game, судя по всему, была успешной. Эта компания является разработчиком популярной сетевой игры Escape from Tarkov. С учетом того, что ранее Winnti неоднократно атаковали производителей игр с целью встраивания своих вредоносов в разрабатываемое ими ПО, можно с достаточной долей уверенности говорить о том, что и в данном случае имела место атака на цепочку поставок.
В начале сентября Позитивы уже давали информацию о том, что Winnti активно работает по российским разработчикам банковского ПО. Равно, как мы раньше говорили, и северокорейская APT Kimsuky атакует отечественные компании.
Так что геополитическое партнерство геополитическим партнерством, а в части кибервойн - табачок врозь.
#APT #Winnti
Атаки проводились путем рассылки фишинговых приманок, для Battlestate Game это были резюме соискателя на должность разработчика игр или менеджера баз данных. Кроме того, в одной из атак приманки имели русские названия, хотя и написанные коряво - "Электронный читатель резюме", например.
Согласно полученным TTPs, китайцы пытались использовать ложные флаги, маскируясь под северокорейскую APT Higaisa, однако дальнейший анализ позволил исследователям прийти к выводу, что это были именно Winnti.
Позитивы утверждают, что атака на Battlestate Game, судя по всему, была успешной. Эта компания является разработчиком популярной сетевой игры Escape from Tarkov. С учетом того, что ранее Winnti неоднократно атаковали производителей игр с целью встраивания своих вредоносов в разрабатываемое ими ПО, можно с достаточной долей уверенности говорить о том, что и в данном случае имела место атака на цепочку поставок.
В начале сентября Позитивы уже давали информацию о том, что Winnti активно работает по российским разработчикам банковского ПО. Равно, как мы раньше говорили, и северокорейская APT Kimsuky атакует отечественные компании.
Так что геополитическое партнерство геополитическим партнерством, а в части кибервойн - табачок врозь.
#APT #Winnti
ptsecurity.com
Higaisa or Winnti? APT41 backdoors, old and new