Saksa poliitikute isikuandmed ilmusid veebis
Nagu 4. jaanuaril teatavaks sai, ilmusid 2018. aasta lõpus Twitteris lingid 994 Saksa poliitiku, näitleja, ajakirjaniku, muusiku isikuandmetele – sealhulgas passile ja krediitkaartidele. Juba 6. jaanuaril peeti häkkimises kahtlustatuna kinni 20-aastane Hesseni gümnaasiumi õpilane. Politsei sõnul veetis ta palju aega arvuti taga, kuid tal pole eriharidust.
Vene "karud"
Taga viimased aastad uudised häkkerite ja küberrünnakute kohta on muutunud igapäevaseks. Sageli omistatakse häkkide autorsust mitmele häkkerite rühmale – Cozy Bear (sõna otseses mõttes "hubane karu", tuntud ka kui APT29), Fancy Bear ("moodne karu", APT28) ja Energetic Bear ("energiakaru"), mis on seotud Venemaa eriteenistustega. Tõendid on kaudsed, kuid iga korraga tuleb neid aina juurde.
Häkkige mind täielikult: viimaste aastate kõrgetasemelised küberrünnakud ja andmelekked
Rünnakud USA ja Saksamaa elektrivõrkudele
2018. aasta suvel sai teatavaks häkkerirühmituse Energetic Bear rünnakud USA ja Saksamaa energiavõrkudele. USA luureagentuuride andmetel jõudsid sissemurdjad USA-s isegi nii kaugele, et nad suutsid elektrit sisse ja välja lülitada ning energiavood välja lülitada. Saksamaal õnnestus häkkeritel aga tungida vaid mõne ettevõtte võrku, enne kui Saksa luureteenistused olukorra kontrolli alla võtsid.
Häkkige mind täielikult: viimaste aastate kõrgetasemelised küberrünnakud ja andmelekked
USA süüdistab GRUd küberrünnakutes
13. juulil 2018 süüdistas USA justiitsministeerium (pildil osakonna esindus Washingtonis) 12 Venemaa kodanikku katses sekkuda 2016. aasta Ameerika presidendivalimistesse. Uurijate sõnul osalesid Venemaa relvajõudude peastaabi luure peadirektoraadi (GRU) töötajad arvutisüsteemide häkkimises. Demokraatlik Partei ja Hillary Clintoni kampaania peakorter.
Häkkige mind täielikult: viimaste aastate kõrgetasemelised küberrünnakud ja andmelekked
USA ja Ühendkuningriik süüdistavad Venemaad ulatuslikus küberrünnakus
FBI, USA sisejulgeolekuministeerium ja Ühendkuningriigi riiklik arvutiturbekeskus teatasid 16. aprillil 2018, et Venemaa häkkerid ründasid valitsusasutusi ja eraettevõtteid, püüdes arestida intellektuaalomandit ja pääseda ligi oma ohvrite võrkudele. Samasuguseid süüdistusi esitas samal päeval ka Austraalia kaitseminister Maryse Payne.
Häkkige mind täielikult: viimaste aastate kõrgetasemelised küberrünnakud ja andmelekked
Bad Rabbit tabas Venemaad ja Ukrainat
24. oktoobril jõudis uus Bad Rabbiti viirus mitme Venemaa meediaväljaande serverisse. Lisaks ründasid häkkerid mitmeid avalikud institutsioonid Ukrainas, samuti Kiievi metroosüsteem, taristuministeerium ja Odessa lennujaam. Varem registreeriti Bad Rabbiti rünnakuid Türgis ja Saksamaal. Eksperdid usuvad, et viirus levib sarnaselt ExPetrile (aka Petya).
Häkkige mind täielikult: viimaste aastate kõrgetasemelised küberrünnakud ja andmelekked
Sajandi küberrünnak
12. mail 2017 sai teatavaks, et kümned tuhanded arvutid 74 riigis langesid enneolematu ulatusega küberrünnaku alla. WannaCry viirus krüpteerib arvutites olevaid andmeid, häkkerid lubavad 300 dollari suuruse bitcoinide lunaraha eest luku eemaldada. Briti meditsiiniasutused, Deutsche Bahn Saksamaal, Vene Föderatsiooni siseministeeriumi arvutid, Juurdluskomitee ja Venemaa Raudtee, samuti Hispaania, India ja teised riigid.
Häkkige mind täielikult: viimaste aastate kõrgetasemelised küberrünnakud ja andmelekked
Petya viirus
2017. aasta juunis registreeriti üle maailma võimsa Petya.A viiruse rünnakud. See halvas Ukraina valitsuse serverite, riikliku postkontori ja Kiievi metroo töö. Viirus mõjutas ka mitmeid Venemaa ettevõtteid. Nakatunud osutusid Saksamaa, Suurbritannia, Taani, Hollandi ja USA arvutid. Puudub teave selle kohta, kes oli viiruse leviku taga.
Häkkige mind täielikult: viimaste aastate kõrgetasemelised küberrünnakud ja andmelekked
Rünnak Bundestagile
2015. aasta mais avastati, et häkkerid olid tunginud pahatahtliku programmi ("trooja") abil Bundestagi sisemisse arvutivõrku. IT-eksperdid leidsid selles rünnakus APT28 rühmituse jälgi. Häkkerite vene päritolu kasuks andsid muu hulgas tunnistust viirusprogrammi venekeelsed seaded ja nende tegutsemise aeg, mis langesid kokku Moskva tööaegadega.
Häkkige mind täielikult: viimaste aastate kõrgetasemelised küberrünnakud ja andmelekked
Hillary vastu
Presidendivõistluse ajal pääsesid häkkerid kahel korral ligi Demokraatliku Partei kandidaadi Hillary Clintoni serveritele. Ameerika luureagentuurid ja IT-firmad on tuvastanud, et Cozy Beari esindajad tegutsesid 2015. aasta suvel ja Fancy Beari 2016. aasta kevadel. USA luureagentuuride sõnul andsid küberrünnakud loa kõrgete isikute poolt Vene ametnikud.
Häkkige mind täielikult: viimaste aastate kõrgetasemelised küberrünnakud ja andmelekked
Merkeli partei relva all
2016. aasta mais sai teatavaks, et Saksamaa kantsleri Angela Merkeli partei Kristlik-Demokraatliku Liidu (CDU) peakorterisse häkiti sisse. IT-spetsialistid väitsid, et just Cozy Beari häkkerid püüdsid andmepüügi abil (saatsid e-kirju linkidega saitidele, mida ei saa eristada päris saitidest) pääseda CDU andmebaasidele, kuid katsed ebaõnnestusid.
Häkkige mind täielikult: viimaste aastate kõrgetasemelised küberrünnakud ja andmelekked
hullumeelne häkkimine
2016. aasta septembris teatas Maailma Antidopingu Agentuur (WADA), et tema andmebaasi on häkitud. Grupp Fancy Bear on postitanud veebis dokumendid nimekirjaga sportlastest, kellele WADA on andnud loa kasutada keelatud nimekirja kuuluvaid ravimeid (terapeutilised erandid) seoses haiguste raviga. Nende hulgas olid Ameerika tennisistid Serena ja Venus Williams ning iluvõimleja Simone Biles.
Häkkige mind täielikult: viimaste aastate kõrgetasemelised küberrünnakud ja andmelekked
500 miljonit Yahoo kontot
2017. aasta veebruaris esitas USA justiitsministeerium kahele FSB ohvitserile Dmitri Dokutšajevile ja Igor Suštšinile süüdistuse enam kui 500 miljoni Yahoo konto andmete varguses. Küberrünnak leidis aset 2014. aasta lõpus. Prokuratuuri hinnangul palkas FSB selleks kaks häkkerit. Häkkimise ohvrite hulgas olid Vene ajakirjanikud, Venemaa ja USA valitsusametnikud ning paljud teised.
Tänapäeval kontrollib maailma see, kes kontrollib Internetti. Ja ilmselt valitsevad maailma nüüd hiinlased.
Kulus vaid paar aastat, enne kui need said tõeliseks ohuks Interneti-kasutajatele kogu maailmas. Nad häkivad kirju, töötavad maailma liiklusega ja isegi varastavad sõjalisi saladusi teistest arenenud riikidest. Viimased on muide pidevalt põnevuses, sest hiinlased ei ründa mitte tavakodanikke, vaid kaitseettevõtteid, mis toodavad varustust ja relvi. Samas on kohalikud võimud üsna resoluutsed. Nad väidavad, et on valmis oma häkkereid isegi füüsiliste jõududega kaitsma. Teave on neile nii oluline, et nad kaitsevad aktiivselt oma õigust seda omada.
Hiina häkkerid on tegutsenud alates 2006. aastast. Nad hakkasid ründama erinevaid suuri servereid. Erinevatel aegadel langesid rünnakute alla sellised riigid nagu Prantsusmaa, India, Lõuna-Korea jne. Ameerika Ühendriigid näitasid kõige rohkem nördimust vastuseks katsetele tungida isiklikku ruumi. Ameeriklasi hakati aktiivselt rünnama 2009. aastal. Sel ajal puutusid Ameerika Ühendriikide tavalised elanikud ja kõrged ametnikud kokku viirusrünnakute ja muude küberspioonide mõjudega. Samuti ründasid häkkerid üsna aktiivselt Jaapanit. Võib-olla on asi selles, et tegemist on konkureeriva riigiga, kellel on tõesti midagi “laenata”, või võib-olla on asi igaveses konkurentsis ja võitluses selle riigiga.
Nüüd on Hiina häkkerid professionaalses mõttes märkimisväärselt kasvanud. Nad on omandanud uued tehnoloogiad ja suudavad välja võtta peaaegu igasuguse teabe ning tulla toime ka kõige keerukamate ja turvalisemate seadmete häkkimisega.
Muide, siin on veel üks huvitav fakt Hiina kohta: siin saate häkkerina töötada täiesti ametlikult. Mõned andekad noored, kes on hästi kursis kaasaegsed tehnoloogiad, saab minna kohaliku omavalitsuse teenistusse. Sel juhul teevad nad oma lemmikasja, kartmata, et neid selle eest karistatakse. Reeglina tegelevad need inimesed tõsiste ettevõtete häkkimisega.
Suurimad skandaalid
Hiina häkkeritega on seotud üsna palju rahvusvahelisi konflikte, mis on korduvalt meedias kõlanud. Veendumaks, et nad on tõesti lahedad, piisab, kui mainida nende viimaste aastate silmapaistvamaid saavutusi.
Üks 2017. aasta suurimaid skandaale on Siemensi andmevargus Hiina häkkerite poolt . Kolm Hiina häkkerit varastasid üle 400 gigabaidi andmeid. Kõik need olid märgistatud väljendiga "ärisaladus".
2018. aastal õnnestus hiinlastel juurdepääs Moody's Analyticsi teenusele . Kuigi ettevõttesisesele postiteenusele juurdepääsu saamine osutus keeruliseks ja pikaks, polnud see asjata, sest neil õnnestus hankida selle ettevõtte parimad praktikad. Mõnda aega jõudis kogu Moody's Analyticsile posti teel saadetud info hiinlastele. See aitas Trimblel luua sama toote, kuid kulutamata sellele nii palju aega ja raha kui konkurendid.
Veel üks suur nutitelefonide skandaal millesse pahavara kasutajate järele luuramiseks installiti. Pahameelsuse laine tõusis, kui üks Kryptowire’i töötajatest märkas puhkuse ajal, et tema uus Hiina telefon tekitab liiklust ka puhkerežiimis. Nagu hiljem selgus, näivad asjad samamoodi olevat ka teiste Hiina Rahvavabariigi territooriumil toodetud androidil põhinevate nutitelefonidega. Telefonid kogusid iseseisvalt oma omanike isikuandmeid ja saatsid need kolmandate osapoolte serveritesse. Pealegi tehti kõike ilma omanike endi loata. See tähendab, et ükski neist ei andnud nõusolekut, et nende isikuandmed on avalikud. Selliseid nutitelefone, mille omanike kohta infot lekib, oli võimalik osta peaaegu kõigist suurematest veebipoodidest. Ameerika suuremates meediakanalites on väidetud, et Hiinas loodi selliseid nutitelefone enam kui seitsmesaja miljoni dollari väärtuses.
Kõik see viis "pilvesõjani". Ameerika ja Hiina tootjad hakkasid omavahel kokku puutuma. Selle skandaaliga seotud ettevõtetel keelati Ameerika protsessorite ostmine. Keeld kehtib seitse aastat. Ameerika ettevõtted, vastupidi, saavad sellest kasu, sest sel viisil eemaldasid nad tegelikult oma konkurendid. Seetõttu kipuvad paljud netikoijad uskuma, et Ameerika ettevõtted ei hooli tegelikult sellest, kui keegi isikuandmeid kogub. Igaüks mõtleb ainult oma kasumile ja sellele, kuidas konkurente võimalikult edukalt hävitada.
Sellega on seotud veel üks üsna suur skandaal Hiina häkkerite poolt raketiprojekti röövimisega . Sel aastal õnnestus neil sisse murda Ameerika mereväe võrku. IN lühike aegõnnestus varastada keeruline laevatõrjerakettide projekt. Aastaks 2020 peaksid sellised isendid täiendama enamikku Ameerika allveelaevu ning muutma need töökindlamaks ja vaenlase rünnakuks valmis. Nüüd on projekt, mille esialgne nimi on "Sea Dragon", ohus. Seni ei tea keegi, kui palju Hiina häkkerite töö jõudude vahekorda muudab.
Enne Trumpi ja Kim Jong-uni tippkohtumist astusid üles ka Hiina häkkerid. Nende täpset eesmärki on raske kindlaks teha. Arvatavasti tahtsid küberspioonid lihtsalt saada Koreast rohkem salajasi andmeid, samal ajal kui kõik on keskendunud poliitilisele reklaamile.
leibkonna spionaaž
Kuid mitte kõik häkkerid ei ole huvitatud poliitilistest mängudest ja mõne salajase teabe varastamisest. Samas töötavad Hiinas ka kõige lihtsamad koduhäkkerid väga kõrgel tasemel.
Nii õnnestus neil näiteks õppida, kuidas kiiresti mööda minna iPhone'ide lukust, mis tundus paljudele haavamatu. Nad postitasid isegi YouTube'i õppevideo. Lisaks on häkkerid isegi hakanud müüma spetsiaalseid seadmeid, mis aitavad mõne sekundiga kolme iPhone'i korraga häkkida. Eeliseks on see, et nad pakkusid kohe kaitseskeemi. Et Hiina käsitöölised teie iPhone'i ei häkiks, piisab kuue, mitte neljakohalise turvaparooli määramisest. Lisaks on oluline, et seal pole mitte ainult numbreid, vaid ka ladina tähestiku tähti.
On ka mõned väiksemad skandaalid, mis on seotud sellega, et küberspioonid häkkivad kohalikesse pakkujatesse ja saavad infot oma edukate kaasmaalaste kohta.
Viimaste aastate enim suunatud rünnakute jäljed viivad Aasiasse, kus Shanghai serverid paistavad silma ereda kohana. Uurimise käigus märgivad eksperdid selliseid markereid nagu Hiina IP-aadressid, ajatemplid, keeleseaded ja Hiinale omane tarkvara. Selles artiklis püüame välja selgitada, kes neid häkkerirünnakuid korraldab ja millised häkkerirühmad on selle taga.
Suuremahuliste sihitud rünnakute uurimine võtab mõnikord aastaid aega, mistõttu pole nende elluviimise üksikasjad kohe teada. Üldjuhul on nende avaldamise ajaks kõik ära kasutatud haavatavused lapitud, viirusetõrje andmebaasidesse on lisatud pahatahtlikke komponente ning blokeeritud C&C serverid. Sellistes aruannetes on aga huvitavad meetodid, mida väikeste muudatustega jätkatakse uute rünnakute puhul.
Hiina häkkerirühmitus APT1 (teise nimega Comment Crew)
See häkkerirühmitus sai identifikaatori number üks ja aitas suuresti kaasa termini APT rünnak – Advanced Persistent Threat – populariseerimisele. Ta püstitas omamoodi rekordi ühest organisatsioonist varastatud andmemahu osas: kümne kuuga laadis APT1 häkitud serveritest alla 6,5 TB dokumente.
On palju tõendeid selle kohta, et APT1 lõi HRV kaitseministeerium Hiina Rahvavabastusarmee (PLA) üksuse 61398 alusel. FireEye ekspertide sõnul on see PLA peastaabi kolmanda direktoraadi eraldiseisva struktuurina tegutsenud alates 2006. aastast. Selle aja jooksul sooritas APT1 vähemalt 141 suunatud rünnakut. Täpset arvu on raske nimetada, kuna osa infoturbeintsidente on vaikitud ja teadaolevate rünnete puhul ei ole alati võimalik tõestada nende kuulumist kindlasse gruppi.
APT1 tegevus piirkondade kaupa, pilt: fireeye.com
Kooskõlas riigi poliitilise juhtkonna doktriiniga "infosõdade võitmiseks" reformiti ja tugevdati APT1 2016. aastal.
Uue APT1 baasi ehituse algus 2013. aastal, foto: DigitalGlobeNüüd elab selle osariigis mitu tuhat inimest. Koosneb peamiselt Zhejiangi ülikooli ja Harbini polütehnilise ülikooli lõpetajatest, kellel on hea inglise keele oskus.
Geograafiliselt asub APT1 peakorter Pudongis (Shanghai uus piirkond), kus talle kuulub suur hoonete kompleks. Nende sissepääsud on valvatud ja kogu perimeetril on kontrollpunkti režiim nagu sõjaväebaasis.
Kontrollpunkt APT1 põhjal, foto: city8.comRünnaku aktiivse faasi kiirendamiseks ja jälgede katmiseks kasutas APT1 "hüppelennuvälju" - nakatunud arvuteid, mida juhiti RDP kaudu, ja FTP-servereid, mis majutasid kasulikku koormust. Kõik need asusid geograafiliselt samas piirkonnas, kus asusid sihtmärgid.
Kaheaastase vaatlusperioodi jooksul leidis FireEye 1905 juhtumit selliste nutikate hostide kasutamisest 832 erineval IP-aadressil, millest 817 viisid China Unicomi ja China Telecomi Shanghai võrkudesse ning Whoisi kirjed viitasid otse Pudongile, kus lisaks APT1 peakorterisse ei ole võrreldava mastaabiga organisatsioone.
Neid vahesõlmi juhtis tavaliselt HTRAN-puhverserver (HUC Packet Transmit Tool) 937 erinevast serverist, mida kontrollis APT1.
APT1 kasutas oma rünnakutes 42 tagaust erinevatest perekondadest. Mõned neist on kirjutatud juba ammu, levitatud darknetis või muudetud tellimuse järgi (Poison Ivy, Gh0st RAT jt), kuid Backdoor.Wualess ja selle hilisemad modifikatsioonid paistavad selle komplekti hulgast silma. Tundub, et see on APT1 enda arendus.
Nagu teistegi sihitud rünnakute puhul, toimetati APT1 stsenaariumide puhul kasulik koormus ohvrite arvutitesse sotsiaalse manipuleerimise meetodite (eelkõige oda andmepüügi) abil. Wuallessi tagaukse põhifunktsioonid sisaldusid teegis wuauclt.dll, mille nakatunud meili Trooja tilgutaja paigutas Windowsi kasutavatesse sihtarvutitesse süsteemikataloogi (%SYSTEMROOT%\wuauclt.dll).
Seejärel kontrollis tagauks varasemat nakatumist ja registreeris end vajadusel registris teenusena:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv "Start"="2" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters "ServiceDll" = "%SystemRoot%\wuauclt.dll" |
- NameLess.3322.org, TCP-port 5202;
- sb.hugesoft.org, TCP-port 443.
Viimast porti kasutavad brauserid vaikimisi HTTPS-ühenduste jaoks, mistõttu tulemüürid seda tavaliselt ei blokeeri.
Käsu saamisel teeb tagauks ühte järgmistest:
- kontrollis ühenduse kiirust;
- kogunud ja saatnud andmeid süsteemi ja kasutajate kohta;
- tegi ekraanipildi ja saatis selle;
- tühjendas DNS-i vahemälu ja muutis selle kirjeid;
- laadis alla ja käivitas veel ühe pahavara;
- lõpetas määratud protsessid mälus;
- otsis ja saatis määratud kriteeriumidele vastavaid faile (peamiselt kontorivormingus dokumendid ja arhiivid);
- uuendas oma versiooni;
- salvestas koopia taastepunkti (süsteemi helitugevuse teave)
Viimane funktsioon muutis tagaukse täieliku eemaldamise keeruliseks, kuna OS blokeeris tavaliselt juurdepääsu kataloogile \System Volume Information\.
Hilisemad modifikatsioonid (nt Wualless.D) kasutasid C&C serveritega ühenduse loomiseks juhuslikke failinimesid, suurt komplekti pordinumbreid ja töötasid iexplore.exe protsessi pimekoopiana.
Teine tunnusjoon APT1 hakkas kasutama WEBC2 tagauksi. Neil on minimaalne funktsioonide komplekt (kasutatakse peamiselt teabe kogumiseks) ja need ühenduvad juhtserveritega nagu brauser. Tagauks saab serverist veebilehe, mille sildid sisaldavad juhtkäske. Selline liiklus näeb välja nagu kasutaja võrgutegevus ega ärata tavaliselt turvasüsteemide käitumisanalüsaatorites kahtlust.
Teiste APT1 poolt kasutatavate liikluse hägustamise tehnikate hulgast paistavad silma tagauksed MaCroMaIL (simuleerib MSN Messengeri tööd), GLooxMaIL (simuleerib Jabber/XMPP klienti) ja CaLenDar (selle andmevahetus sarnaneb Google'i kalendri sünkroonimisega).
Nakatunud arvutite kohta teabe kogumiseks kasutas APT1 sisseehitatud Windowsi tööriistu, mida kutsuti käsuga tagaukse loodud partiifaili (.bat) kaudu. Tuletan meelde, et märk > näitab, et väljund suunatakse ekraanil kuvamise asemel faili ümber ja faili laiend koos logiga ei oma tähtsust, kuna selle sees on ASCII-sse kodeeritud lihttekstivorming / DOS.
@ kaja välja // Käsuväljundi väljalülitamine ipconfig /all > %TEMP%\ipconfig. logi // Salvestab täieliku IP-konfiguratsiooni teabe, kõigi võrguadapterite loendi ja nende MAC-aadressid netstat -ano > %TEMP% \ netstat . logi // Kuvab kõik võrguühendused ja avatud pordid, määrab iga protsessi ID ja võrguaadressid numbrilises vormingus net start > %TEMP%\services. logi // Loetleb kõik töötavad Windowsi teenused ülesandeloend / v > % TEMP % \ ülesanded . lst // Loob kõigi töötavate protsesside ja nende tarbitavate arvutusressursside loendi neto kasutaja > % TEMP % \ kasutajad . lst // Salvestab kontode loendi Windowsi kirjed kohalikust andmebaasist net localgroup administraatorid > %TEMP%\admins . lst // Kuvab kohalikku gruppi "Administraatorid" kaasatud kontode loendi netokasutus > % TEMP % \ aktsiat . net // Kuvab võrgu ühiskasutustega ühenduste loendi netview > %TEMP%\hosts. dmn // Näitab praeguse domeeni või võrgu hostide loendit |
Samuti kasutage sobivaid käske, näiteks net group
Just tänu oma primitiivsusele töötas see teabe kogumise meetod veatult. Sisseehitatud diagnostikatööriistad on saadaval kõigis Windowsi versioonidega arvutites. Muutuja %TEMP% välistab vajaduse otsida logide salvestamiseks kausta. Iga kasutaja (ja tema õigustega töötav tagauks) võib ajutiste failide kataloogi kirjutada. Tekstivormingus failidel (eriti - logid standardvaade) ükski viirusetõrje ei vannu ja kasutaja jaoks tunduvad need täiesti kahjutud – umbes nagu Microsoftilt telemeetria kogumine või rutiinsed administraatorikontrollid.
Ainus erinevus seisnes selles, et kogutud logid pakiti seejärel .rar arhiivi ja saadeti APT1 serveritesse edasiste sihtmärkide valimiseks. Andmelekke analüüsi keerulisemaks muutmiseks loodi logisid sisaldav .rar arhiiv võtmega -hp (näitab vajadust krüpteerida mitte ainult sisu, vaid ka failinimesid).
Pärast süsteemi kohta aruannete kogumist hakati rünnaku järgmises etapis hankima kasutajate paroole. Põhimõtteliselt kasutas see samm ka kommunaalteenuseid, mille tagauks C&C serveri käsul käivitas:
- Windows NTLM-i räsikogumise tööriist fgdump;
- parooliräsikallur pwdump7 ;
- gsecdump ja muud TrueSeci utiliidid;
- pass-the-hash tööriistakomplekt ja muud tööriistad saidilt .
Kõik need on tunnistatud mitte-viiruseks ega häkkimistööriistaks ega käivita vastavate sätetega viirusetõrjeid (ignoreerige parooliauditi utiliite).
Olles valinud paari räsi - parooli (enamasti - kõige lihtsamate sõnastikurünnakutega), sai APT1 võimaluse teha kaugjuhtimisega mis tahes toiminguid ettevõtte tõelise töötaja nimel. Sealhulgas uute andmepüügimeilide saatmine tema aadressilt ja tema konto kaudu ettevõtte võrgus (nagu ka VPN-konto kaudu), et rünnata juhtkonna ja partnerorganisatsioonide arvuteid. Just nemad ja neile salvestatud andmed said lõppeesmärgiks. Kokku vastutab APT1 enam kui sajalt suurelt rahvusvaheliselt ettevõttelt ja nendega seotud ülikoolilt kõrgtehnoloogiliste arengute kohta info varastamise eest. Paljusid sihtmärke rünnati mitu korda edukalt.
Hiina häkkerirühmitus APT3 (UPS Team)
Väidetavalt seotud MSS-iga – ministeerium riigi julgeolek Hiina. Tegutseb hindamiskeskuse kaudu infotehnoloogiad Hiina (CNITSEC) ja ITSECi turvakeskus Guangdongis.
Just Guangdongi ärikeskuses - Huapu Square West Toweris viivad korraga mitme suure sihitud rünnaku jäljed. Selles asub Boyuseci peakorter, mis teeb koos Huawei ja ZTE-ga koostööd CNITSECi võtmepartneri Shanghai Adups Technologyga. 
Igatahes on APT3 tehniliselt kõige arenenum grupp. See kasutab rünnakutes 0-päeva turvaauke, kohandatud tagauksi, muutes pidevalt kasutatavate C&C serverite, tööriistade ja meetodite komplekti. Selle lähenemisviise illustreerivad hästi kolm suurt sihitud rünnakut, mida käsitletakse üksikasjalikumalt allpool.
Operatsioon Underground Fox
APT, nimega Operation Clandestine Fox, algas 2014. aasta kevadel. See mõjutas IE-d kuuendast kuni üheteistkümnenda versioonini, mis NetMarketShare'i andmetel moodustas tol ajal umbes kolmandiku kõigist brauseritest.
Clandestine Fox kasutas turvaauku CVE-2014-1776, mis viis kuhjarünnakuni pärast kasutusvabadust.
Dünaamiline mälu ehk hunnik on kujundatud nii, et see kirjutatakse suurte plokkidena pidevalt üle. Tavaliselt annab kuhjahaldur järgmise vaba ploki taotlemisel selle aadressi, mille mõni objekt just vabastas (eriti kui see on sama suur).
Use-after-free ründe olemus seisneb selles, et pärast seda, kui objekt on mälu vabastanud, viitab osuti ptr mõnda aega selle objekti meetodite kutsumisel selle ploki aadressile. Kui taotleme esmalt dünaamilise mälu eraldamist ja seejärel proovime kutsuda äsja vabastatud objekti meetodit, tagastab kuhjahaldur meile tõenäoliselt vana aadressi. Kui virtuaalsesse meetodite tabelisse (VMT, Virtual Method Table) asetatakse kursor pahatahtlikule koodile ja VMT ise kirjutatakse uue mäluploki algusesse, käivitub pahavara, kui sinna salvestatud objekti meetod helistas.
Sellise ründe stsenaariumi vältimiseks kasutatakse randomiseeritud mälujaotuse mehhanismi ASLR. Clandestine Foxi operatsioon kasutas aga lihtsaid meetodeid, et sellest mööda hiilida.
Lihtsaim neist on kasutada mooduleid, mis ei toeta ASLR-i. Näiteks vanad teegid MSVCR71.DLL ja HXDS.DLL, mis kompileeriti ilma uue suvandi /DYNAMICBASEta. Need laaditakse mällu samadele aadressidele ja olid rünnaku ajal enamikus arvutites olemas. MSVCR71.DLL laadib IE operatsioonisüsteemis Windows 7 (eriti siis, kui proovite avada abilehte, mis algab tähega ms-help://) ja HXDS.DLL laaditakse MS Office 2007 ja 2010 rakenduste käitamisel.
Lisaks kasutas Clandestine Fox Data Execution Prevention (DEP) süsteemist möödahiilimiseks tehnikat, mille üksikasjad said teatavaks alles APT3 rühma järgmise rünnaku analüüsimisel.
Operatsioon Underground Wolf
Clandestine Wolfi andmepüügikampaania oli "maa-aluse rebase" jätk ja selle viis läbi APT3 2015. aastal. Sellest sai üks tõhusamaid, kuna see kasutas Adobe puhvri ületäitumise viga Flash Player, millele tol ajal plaastrit polnud. Haavatavus CVE-2015-3113 mõjutas mängija kõiki praeguseid Windowsi, OS X-i ja Linuxi versioone. See võimaldas suvalist koodi käivitada ilma kasutajapoolse vähese sekkumiseta ja turvasüsteemidest mööda minnes.
APT3 meelitas meililistis pakkumisega osta renoveeritud iMacisid soodushinnaga. E-kirjas olev link viis veebilehele, mis sisaldas flv-faili ja käivitas ärakasutamise. Huvitaval kombel läks ärakasutamine mööda sisseehitatud DEP-kaitsest (Data Execution Prevention), püüdes kinni pinu (kõnede pinu) juhtimise ja sooritades naasmisele orienteeritud programmeerimise (ROP) rünnaku. Selle rünnaku ajal kutsuti välja Kernel32.dll-i funktsioon VirtualAlloc ja loodi viited sisestatud shellkoodile ning see märgiti käivitatavaks.
Ärakasutamine ületas ka teise kaitsekihi, kasutades ära aadressiruumi randomiseerimise (ASLR) teadaolevaid vigu ja sisestades käivitatava koodi teistesse protsessidesse (peamiselt brauseri lõime).
ROP-rünnaku varjamiseks krüpteeriti veebilehel olev ärakasutamine (RC4) ja selle dekrüpteerimiseks eraldati võti kõrvaloleva pildi skripti abil. Seetõttu ei tuvastanud ka nakatunud veebilehe viirusetõrje midagi kahtlast.
Selle tulemusena pidi kasutaja arvutisse tagaukse installimiseks klõpsama vaid lingil. Ei OS-i ja brauseri sisseehitatud kaitsemeetodid ega üksikud viirusetõrjed ei suuda kaitsta 0-päevase ärakasutamise eest.
Topeltpuudutamine
Andmepüügi Double Tap kampaania viidi läbi 2014. aasta sügisel, kasutades kahte hiljutist turvaauku:
Esimene haavatavus võimaldab teil muuta VBScripti mootori seatud massiivi suurust OleAut32.dll teegi funktsiooni SafeArrayRedim vea tõttu. Teine on seotud win32k.sys süsteemidraiveriga ja selle tulemuseks on privileegide eskalatsioon Windowsi kerneli tasemel.
Ärakasutamine käivitati, kasutades häkitud saitide ja HTML-meilide lehtedele manustatud iframe'i elementi. Söödaks oli seekord Playboy Clubi tasuta kuutellimuse pakkumine, mis annab piiramatu juurdepääsu kõrge eraldusvõimega fotodele ja Full HD klippidele. Link viis võltsitud domeeni playboysplus.com.
Pärast sellel klõpsamist laaditi arvutisse alla 46 KB fail install.exe. See on tilguti troojalane, mis ei sisalda pahatahtlikke funktsioone ja mida viirusetõrjed ei tuvastanud rünnaku ajal ei signatuuri ega heuristilise analüüsi abil. See lõi kaks faili: doc.exe ja test.exe avalikku kasutajakataloogi C:\Users\Public\. Mõnel arvutil see kõvasti kodeeritud tee puudus, mis päästis need nakatumise eest. Piisas hoopis muutuja kasutamisest (näiteks %USERPROFILE% või %TEMP%), et nii keeruline rünnak absoluutsete radadega arusaamatuse tõttu kohe alguses toppama ei jääks.
Fail doc.exe toetas 64-bitist arhitektuuri ja sisaldas haavatavuse CVE-2014-4113 ärakasutamist. Seda oli vaja test.exe tagaukse käivitamiseks süsteemiõigustega. Käivitamise kontroll viidi läbi konsooli käsk kes ma olen.
Test.exe sisaldas omakorda koodi haavatavuse CVE-2014-6332 ärakasutamiseks, mis oli teise populaarse Metasploiti osaks oleva ärakasutamise modifikatsioon.
Kui see õnnestus, seadistas tagauks SOCKS5 puhverserveri ja saatis lühikese päringu (05 01 00) esimese taseme C&C serverile numbril 192.157.198.103, TCP port 1913. Kui vastas 05 00, ühendus tagauks teise taseme C&C-ga. server aadressil 192 184. 60 229, TCP port 81. Seejärel kuulas see tema kolmebaidiseid käske ja täitis need.
Rünnaku väljatöötamise käigus sai tagauks uuenduse ning hiljem hakkasid viirusetõrjed seda tuvastama kui Backdoor.APT.CookieCutter , ehk Pirpi .rundll32 . exe "%USERPROFILE%\Application Data\mt.dat" UpdvaMt
Rundll32 on utiliidi konsooliprogramm, mis võimaldab teil kutsuda dünaamilistest raamatukogudest (DLL-idest) eksporditud selgelt määratletud funktsioone. Algselt loodi see Microsofti sisekasutuseks, kuid sai siis Windowsi osaks (alates 95-st). Kui muul viisil on võimalik ligi pääseda teegile ainult õige laiendiga, siis Rundll32 ignoreerib faililaiendeid.
järeldused
Otsustades esilekerkivate faktide põhjal, töötavad Hiina valitsuse heaks küberturvalisuse valdkonnas suured professionaalsete häkkerite meeskonnad. Osa neist loetakse ametlikult armee üksusteks – neile antakse juurdepääs riigisaladusele ja neid valvatakse samaväärselt staabi signaalijatega. Teised tegutsevad äriettevõtete kaudu ja korraldavad rünnakuid otse ärikeskusest. Teised on tsiviilrühmad, kes muutuvad sageli. Näib, et viimastele usaldatakse kõige räpasemad juhtumid, misjärel antakse osa võimuerakonna maine valgendamiseks õiguskaitseorganitele. Torke korral määratakse nad lihtsalt süüdi ja võetakse tööle järgmised.
Hiinas kasutatakse küberspionaažiks lisaks PLA ja riikliku julgeolekuministeeriumi üksustel põhinevatele tavapärastele struktuuridele ka tsiviilhäkkerite meeskondi. Neile usaldatakse kõige mustem töö, nii et kokkupuute korral on mainekahju valitsusele minimaalne. Selles artiklis analüüsime nende tööriistu ja meetodeid.
HOIATUS
Kogu selles artiklis esitatud teave on esitatud ainult informatiivsel eesmärgil. Toimetajad ega autor ei vastuta nende materjalide tekitatud võimaliku kahju eest.
APT10
Häkkerirühmitus APT10 (alias Menupass, aka Red Apollo, aka Stone Panda, aka CVNX) on analüütikute radaril olnud regulaarselt alates 2009. aastast. See on suunatud peamiselt ehitus-, inseneri-, lennundus- ja telekommunikatsiooniettevõtetele, samuti USA, Euroopa ja Jaapani valitsusasutustele. Nende tööstusharude valik on kooskõlas Hiina riikliku julgeoleku eesmärkidega. FireEye andmetel sai Hiina valitsus APT10 küberspionaaži kaudu ligipääsu sõjalistele arengutele, luureandmetele ja muule väärtuslikule teabele. Sama grupp vastutab ärisaladuste varastamise eest, mis annavad Hiina korporatsioonidele (eriti telekomi valdkonnas) konkurentsieelise rahvusvahelisel turul.
Pikka aega arvati, et pärast rünnakute seeriat lahkus rühmitus APT10 sündmuskohalt, kuid 2016. aastal pälvis see taas infoturbespetsialistide tähelepanu. Aastatel 2016–2017 viis APT10 läbi tohutuid andmepüügikampaaniaid, mis mõjutasid kõiki kuut kontinenti (jah, see tabas isegi Antarktika polaarjaamu).
Operatsioon Cloud Bunker
Kaasaegsed äri optimeerimise trendid loovad uusi rünnakute vektoreid. Näiteks sisseostetavad IT-teenused ja pilveteenused on nüüd ülipopulaarsed. APT10 ja teised häkkimisgrupid hakkavad neid kasutama ohvrite arvutitesse imbumise lähtepunktina.
APT10 strateegia ei hõlma mitte ainult klassikalist andmepüüki, vaid ka rünnakute korraldamist teenusepakkujate kaudu. Põhimõtteliselt kasutab APT10 selleks PlugX-i kaughaldusutiliiti. See on huvitav, kuna suhtleb oma C&C-ga, kasutades IT-teenuse pakkujate nakatunud servereid. PlugX ühendab end süsteemiga, testib ühendust ja kui see õnnestub, seadistab usaldusväärsete teenusepakkujate serverite kaudu puhverserveri, maskeerides Corel Toolsi ja muude populaarsete utiliitidena.
Sc create CorWrTool binPath="\"C:\Windows\vss\vixDiskMountServer.exe\"" start=auto displayname="Corel Writing Tools Utility" type=own sc kirjeldus CorWrTool "Corel Graphics Corporationi rakendused." ping -a psexec.exe
Nii on võimalik vältida IDS-i käivitamist ja tulemüüri blokeerimist, kuna teenusepakkuja pilveserveri liiklus tundub neile kahjutu.
Hallatavate teenuste pakkujate (MSP) IT-infrastruktuuri kasutamine APT hüppelauana on viimase kahe aasta jooksul muutunud eriti populaarseks skeemiks. BAE Systemsi rakendusliku luure osakond uurib neid koos PricewaterhouseCoopersi audiitoritega. Lihtsustatud diagramm näeb välja selline.
BAE andmetel laienes aastatel 2016-2017 APT10 arsenal oluliselt. See tutvustas Trooja Scorpion ja SNUGRIDE tagaust – kahte komponenti, mis on vajalikud rünnaku esimese etapi kiirendamiseks ja selle sihipäraseks muutmiseks.
Scorpion Troojat nähti esmakordselt 2016. aastal Jaapani organisatsioonide vastu suunatud massilise rünnaku ajal. See koostab ohvri profiili, kogudes arvuti nime, käitamise protsessi ID-d, muutuja %TEMP% tee ja Internet Exploreri versiooni. Seejärel saadab see kodeeritud süsteemiteabe ühele kõvakodeeritud haldusserveri (C&C) aadressidest, kasutades kasutajaagendi stringi. Samuti võib see alla laadida ja käivitada täiendavaid pahatahtlikke mooduleid, valmistades ette rünnaku järgmise sammu.
SNUGRIDE-i tagaukse põhiülesanne on NAT-ist ja tulemüüridest möödahiilimiseks pöördkesta mahajätmine. Kui see õnnestub, võtab see HTTP kaudu ühendust käsu- ja juhtimisserveriga, kuid saadab kõik AES-iga krüpteeritud päringud. Võti on staatiline ja salvestatud lokaalselt, seega on krüptimise ainus eesmärk IDS-i ja teiste liiklusanalüüsisüsteemide segi ajamine.
Pärast sihtmärkide valimist kontrollisid häkkerid nakatunud arvuteid läbi teiste tagauste – RedLeaves ja QuasarRAT. Mõlemad komponendid lõi APT10 avatud lähtekoodiga projektide põhjal. Esimene on Trochiluse failiversioon ja viimane on ka GitHubis saadaval avatud lähtekoodiga APT10 modifitseeritud "rott". RedLeaves'i konfiguratsioonifail on "krüpteeritud" - XOR võtmega 0x53. Vahetus käsu- ja juhtimisserveriga on samuti "krüpteeritud" – RC4 poolt võtmega 88888888. Tavaliselt laaditakse RedLeaves läbi nakatunud .DLL-i, kasutades ära asjaolu, et mis tahes programmi käivitamisel otsitakse dünaamilisi teeke. see vajab algab samast kataloogist. See lihtsalt asendab ieproxy.dll IE kataloogis või mõne muu DLL-i standardkomplektist.
Sõltuvalt muude komponentide olemasolust nakatunud arvutis täiendab või asendab APT10 RedLeaves nende funktsioone. Samuti võib see koguda ohvri kohta esialgset teavet, installida pöördkesta, leida, saata või kustutada teatud faile, teha ja saata ekraanipilte, laadida alla ja käivitada muud pahavara käsuga C&C.
Huvitaval kombel ei kasutatud teenusepakkujate kaudu rünnaku läbiviimiseks täiustatud tehnikaid. Kõik piirdus primitiivse, kuid tõhusa vanade nippide komplektiga – topeltlaiendiga (.doc.exe) failide libistamiseks pilveteenuse pakkuja töötajatele või nakatatud failidele otseteede saatmiseks arhiivis olevate dokumentide varjus.
Siin on paradoksaalne olukord: mida rohkem ettevõtted infoturbe investeerivad, seda hoolimatumaks muutuvad nende töötajad. Nad toetuvad kallitele kaitsevahenditele, uskudes, et täiustatud riist- ja tarkvarasüsteemid tõrjuvad kuidagi automaatselt kõik rünnakud ise. Kuid nagu Mark Rush arvutiteadustest ütles: "Pole ühtegi seadet, mis takistaks inimestel idiootidena käituda."
Pärast BAE, PwC ja FireEye ühistegevust on APT10 aktiivsus oluliselt vähenenud. Analüütikud on aga ühel meelel, et see on järjekordne rahu enne tormi.
APT12
Arvatavasti on APT12 (teise nimega IXESHE, teise nimega DynCalc, teise nimega Calc Team, teise nimega DNSCALC, teise nimega Numbered Panda) rühm vabakutselisi, kelle PLA palkas eraldi toimingute tegemiseks. Samuti on see aktiivne alates 2009. aastast ja saadab tavaliselt õngitsemiskirju päriselt meilikontodelt pärast nende häkkimist. See ründab peamiselt Jaapani ja Taiwani meedia- ja tehnoloogiaettevõtteid.
Jätkuvalt saadaval ainult liikmetele
Võimalus 1. Liituge saidi kogukonnaga, et lugeda kõiki saidil olevaid materjale
Kogukonna liikmelisus määratud aja jooksul annab teile juurdepääsu KÕIGILE häkkerite materjalidele, suurendab teie isiklikku kumulatiivset allahindlust ja võimaldab teil koguda professionaalset Xakep Score reitingut!
