Разделы

Безопасность Бизнес ИТ в госсекторе Маркет

Восьмилетнее воровство военных данных обнаружили после ухода хакеров на пенсию

«Лаборатория Касперского» обнаружила кибершпионскую кампанию, направленную на военные и гражданские организации в несколько европейских, азиатских и африканских странах. Кампания была активна с 2009 по 2017 гг. и свернулась, вероятно, после публикации ShadowBrokers.

«Темная вселенная»

«Лаборатория Касперского» опубликовала обширное исследование ранее неизвестной APT-группировки, получившей весьма поэтичное название DarkUniverse («Темная вселенная»).

По всей видимости, группа вела активную деятельность с 2009 по 2017 гг., и была частью другой группировки, известной как ItaDuke. Об этом свидетельствуют «уникальные пересечения в коде». При этом степень достоверности этого утверждения в «Лаборатории» называют средней.

Обнаружить DarkUniverse удалось благодаря публикации известной группировки ShadowBrokers. Их пятая «утечка» под общим названием Lost In Translation содержала «интересный скрипт, проверяющий наличие следов других APT в скомпрометированной системе». Однако найти вредоносные инструменты DarkUniverse экспертам удалось только в 2018 г.

Судя по описанию, приведенному на SecureList, основным вектором заражения были узконаправленные фишинговые сообщения.

haker600.jpg
APT-группировку DarkUniverse обнаружили только после завершения ее деятельности

«Для каждой жертвы письмо специально подготавливалось так, чтобы привлечь ее внимание и побудить открыть вложенный документ Microsoft Office, содержащий зловред, — указывается в публикации “Лаборатории”. — Каждый изученный нами образец был скомпилирован непосредственно перед отправкой и включал последнюю доступную версию исполняемого файла вредоносного ПО».

Некоторые подробности

Жертвами атак стали не менее 20 гражданских и военных организаций, располагающихся в Сирии, Иране, Афганистане, Танзании, Эфиопии, Судане, России, Белоруссии и ОАЭ. В «Лаборатории» полагают, однако, что в течение основного периода активности жертв было намного больше.

Согласно выводам экспертов, DarkUniverse — пример полноценного фреймворка, содержащего «все необходимые модули для сбора всей возможной информации о пользователе и зараженной системе».

Разработанный с нуля, он совершенствовался на протяжении всех восьми лет активности, так что образцы 2009 и 2017 гг. не похожи друг на друга совершенно.

В последних «редакциях», датированных 2017 г., встроенный в документы исполняемый файл извлекал из себя два вредоносных файла: updater.mod и glue30.dll. Оба файла сохранялись в пользовательском каталоге \AppData\Roaming\Microsoft\Windows\Reorder. После этого исполняемый файл копировал легальное приложение rundll32.exe в ту же папку и использовал его для старта библиотеки updater.mod.

Эта библиотека отвечает за обеспечение связи с командным сервером, обеспечение постоянного присутствия (для чего в папку автозагрузки помещается символьная ссылка) и целостности, а также за управление другими вредоносными модулями.

Характерно, что для каждой жертвы операторы кампании создавали уникальный C&C-сервер — как правило, в облачном хранилище mydrive.ch, принадлежащем швейцарской фирме SoftronicsCommunicationsAG. Туда же загружались дополнительные вредоносные модули.

В публикации «Лаборатории» упоминаются три таких модуля: кейлоггер glue30.dll, msvcrt58.sqt — модуль для сбора учетных записей жертв и электронных писем, а также dfrgntfs5.sqt — модуль для установления связи с контрольным сервером и исполнения команд с него.

Модуль msvcrt58.sqt перехватывает незашифрованный POP3-трафик для сбора учетных записей жертв и электронных писем. Для этого он отслеживает процессы наиболее распространенных почтовых клиентов и мессенджеров: Outlook Express, Outlook, Internet Explorer, Windows Mail и Windows Live Mail, Windows Live Messenger.

Модуль glue30.dll внедряется в процессы, получающие ввод с клавиатуры, и перехватывает набранный текст. Последний модуль является самым многофункциональным компонентом DarkUniverse, через который производится сбор данных из системного реестра, сбор и расшифровка учетных данных , а также из кэша InternetCache, отправка собранных в целевой системе данных на C&C и обновление других модулей. Этот модуль также позволяет отслеживать обновление определенных файлов в системе.

Сворачиваем удочки, нас заметили

На данный момент кампания не активна. «Приостановка данной активности может быть связана с публикацией утечки «Lostintranslation» или, возможно, злоумышленники просто решили перейти на более современные подходы и начать использовать более широко доступные артефакты для своих операций», — говорится в публикации «Лаборатории Касперского».

«Успешность кибершпионских операций в целом определяется эффективностью первичного заражения, временем, проходящим с момента запуска операции до ее обнаружения и, естественно, объемом данных, которых с их помощью удается получить, — отмечает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — DarkUniverse обнаружили только после окончания ее деятельности, и это означает, что ее успешность была крайне высокой. Уникальные серверы и тонкая настройка вредоноса для каждой жертвы, в свою очередь, свидетельствуют о весьма высоком уровне подготовки операторов кампании».

Роман Георгиев