✔APT из Поднебесной. Китайские хакерские группы и техники их целенаправленных атак - «Новости»
);
Содержание статьи
- APT3 (UPS Team)
- Операция «Подпольный волк»
- Выводы
Расследование масштабных целенаправленных атак порой занимает годы, поэтому подробности их проведения становятся известны далеко не сразу. Обычно к моменту их публикации все использованные уязвимости закрыты патчами, вредоносные компоненты добавлены в антивирусные базы, а C&C-серверы заблокированы. Однако в таких отчетах интересны методы, которые с небольшими изменениями продолжают использовать в новых атаках.
APT1 (aka Comment Crew)
Эта хакерская группа получила идентификатор за номером один и во многом способствовала популяризации термина Advanced Persistent Threat. Она установила своеобразный рекорд по количеству данных, украденных у одной организации: за десять месяцев APT1 выкачала 6,5 Тбайт документов со взломанных серверов.
Есть много свидетельств тому, что APT1 создана Минобороны КНР на базе подразделения 61398 Народно-освободительной армии Китая (НОАК). По мнению специалистов FireEye, она действует с 2006 года как отдельная структура Третьего управления Генштаба НОАК. За это время APT1 выполнила как минимум 141 таргетированную атаку. Назвать точное число сложно, поскольку часть инцидентов в сфере информационной безопасности замалчивается, а для известных атак не всегда удается доказать их принадлежность конкретной группе.
Активность APT1 по регионам, изображение: fireeye.com
В соответствии с доктриной политического руководства страны «побеждать в информационных войнах» APT1 была реформирована и усилена в 2016 году.
 |  |
| Начало строительства новой базы APT1 в 2013 году, фото: DigitalGlobe | |
Сейчас она насчитывает в своем штате несколько тысяч людей. В основном состоит из выпускников Чжэцзянского университета и Харбинского политехнического университета с хорошим знанием английского.
Географически штаб-квартира APT1 располагается в Пудуне (новый район Шанхая), где она владеет большим комплексом зданий. Входы в них охраняются, а на всем периметре действует контрольно-пропускной режим, как на военной базе.
КПП на базе APT1, фото: city8.com
Чтобы ускорить активную фазу атаки и замести следы, APT1 использовала «аэродромы подскока» — зараженные компьютеры, управляемые через RDP, и FTP-серверы, на которых размещалась боевая нагрузка. Все они географически располагались в том же регионе, где находились цели.
За двухлетний период наблюдений специалисты FireEye обнаружили 1905 случаев использования таких промежуточных узлов с 832 разных IP-адресов, причем 817 из них вели в шанхайские сети China Unicom и China Telecom, а регистрационные записи Whois прямо указывали на Пудун, где, кроме штаб-квартиры APT1, нет организаций сравнимого масштаба.
Управляли этими промежуточными узлами обычно при помощи прокси HTRAN (HUC Packet Transmit Tool) с 937 разных серверов, контролируемых APT1.
В своих атаках APT1 использовала 42 бэкдора из разных семейств. Часть из них была написана давно, распространялась в даркнете или модифицировалась на заказ (Poison Ivy, Gh0st RAT и другие), но среди этого набора выделяется Backdoor.Wualess и его более поздние модификации. Похоже, это собственная разработка APT1.
Как и в других таргетированных атаках, в сценариях APT1 боевая нагрузка доставлялась на компьютеры жертв методами социального инжиниринга (в частности, spear phishing). Основная функциональность бэкдора Wualess содержалась в библиотеке wuauclt.dll, которую троян-дроппер из зараженного письма помещал на целевых компьютерах под управлением Windows в системный каталог (%SYSTEMROOT%wuauclt.dll).
Затем бэкдор выполнял проверку на предшествующее заражение и при необходимости прописывал себя в реестре как сервис:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauserv "Start" = "2"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauservParameters "ServiceDll" = "%SystemRoot%wuauclt.dll"
Далее бэкдор соединялся с одним из управляющих серверов через IRC:
- NameLess.3322.org, TCP-порт 5202;
- sb.hugesoft.org, TCP-порт 443.
Последний порт по умолчанию используется браузерами для соединения по HTTPS, поэтому обычно он не блокируется файрволами.
Получив команду, бэкдор выполнял одно из следующих действий:
- проверял скорость подключения;
- собирал и отправлял данные о системе и пользователях;
- делал скриншот и отсылал его;
- очищал DNS-кеш и подменял записи в нем;
- скачивал и запускал на выполнение очередной зловред;
- завершал указанные процессы в памяти;
- искал и отправлял файлы, соответствующие указанным критериям (в основном документы офисных форматов и архивы);
- обновлял свою версию;
- сохранял свою копию в точке восстановления (System Volume Information)
Последняя особенность затрудняла полное удаление бэкдора, поскольку ОС обычно блокировала доступ к каталогу System Volume Information.
