Дмитрий Косырев, политический обозреватель МИА "Россия сегодня"
Охота на "русских хакеров" в Америке ведется не только из русофобии: еще неизвестно, кого боятся больше, — нас или китайцев. Историй с китайскими хакерами, "угрожающими США", сколько угодно, просто мы в России по понятным причинам этого не замечаем — зато на них обращают внимание в КНР.
Например
Вот рядовой, в сущности, материал из американского журнала Foreign Policy. Прокуратура США раскрыла нечто "похожее" на группу хакеров, связанных с китайским государством, и предъявила подозреваемым обвинения. Их фирма "Боюйсек" уже закрыта.
Три компьютерных гения (их фамилии — У, Дун и Ся) якобы взломали системы американского подразделения Siemens, рейтингового агентства Moody’s и еще Trimble, занятой GPS-навигацией. С кем не бывает — может, и взломали, но тут зазвучали знакомые мотивы. Дословно так: "Накопленные улики и расследования частной фирмы по безопасности подсказывают, что компания является филиалом могущественного китайского Министерства госбезопасности и, видимо, оперирует как прикрытие для кибершпионажа".
Неназванная частная фирма "подсказывает", что ей что-то такое "видимо"… А поточнее фактов не нашлось? И если таковых нет, то зачем на них намекать? А затем, что так страшнее. Примерно как с "русскими хакерами", которых, как покемонов, ловят уже почти год в конгрессе США, и там то же самое: кто-то "подсказывает" и "видимо".
История даже слегка обидная — мы-то думали, что у русских монополия на хакерство в США. А оказывается, у нас ее отбирают китайцы.
"Китаефобия", кстати, трясет не только Америку. Есть еще дальняя провинция мировой политики — Австралия. Пекинское издание Global Times рассказывает о том, как в Австралии сейчас разворачивается примерно такая же, как в США, история , причем на высоком политическом уровне. Покинул свои посты в тамошнем конгрессе сенатор Сэм Дастиари. Он (опять же, "как утверждают") сообщил китайскому бизнесмену по имени Хуану Сянмо, что за тем следят австралийские спецслужбы. Доказательств опять ни у кого нет, но раз "утверждают", то сенатору одна дорога — в отставку. И особенно радостно на это реагирует премьер-министр Малькольм Тернбилл, который раньше, "как утверждают, обедал с китайским инвестором", и СМИ подняли по этому поводу громкий крик.
Да, главное я не сказал: Хуан Сянмо, не просто бизнесмен, а "подозревается в связях с Компартией Китая".
Это же как — "подозревается"? Речь о правящей в его стране партии, как можно не иметь с ней никаких связей? Не говоря о том, что значит партия вообще, в ней ведь, напомним, состоит чуть не 90 миллионов человек. Но тут мы возвращаемся в США и вспоминаем, что там страшным обвинением стала любая встреча американца с послом России или вообще любым россиянином.
И таких историй в США и странах-сателлитах сколько угодно.
В общем, дело вовсе не только в России. И предварительный диагноз явлению в целом понятен: паранойя. Остаются только вопросы, почему она возникла именно сейчас и какие у нее особенности. В деталях, как всегда, самое интересное.
Уточним диагноз
В упомянутом выше китайском материале насчет австралийских скандалов приводится давнее высказывание одного из прежних премьер-министров Австралии Тони Эббота. А именно: австралийской политикой в отношении Китая движут две эмоции — страх и жадность. Жадность потому, что без китайских инвесторов и торговых партнеров Австралия будет выглядеть очень бледно. Страх — по той же самой причине.
Но и в США то же самое. Вот факты: одни только китайские туристы, студенты и прочие посетители Штатов дали этой стране еще в 2015 году около 30 миллиардов долларов. По данным на 2016 год, торговля товарами достигла 510 миллиардов, услугами — 110 миллиардов, а взаимные инвестиции доросли до 170 миллиардов.
Это означает, что с 1979 года (когда Китай, каким мы его сегодня знаем, только начинался) торговля с Америкой выросла в 207 раз. А еще это значит, что Китай — первый торговый партнер США, а Штаты — вторые для Китая (ЕС в целом на первом месте).
И здесь у нас серьезный контраст с ситуацией Россия — США, где деловые связи в десять раз слабее. Поэтому о "русских хакерах" можно орать в голос, а с китайскими все как-то неоднозначно — жадность сталкивается со страхом.
При этом, когда китайские инвесторы хотят купить на корню что-то для Штатов важное и стратегическое, то страх побеждает. А в других случаях, как с недавним визитом президента Дональда Трампа в Пекин, подписавшим там множество экономических соглашений, побеждает жадность (и желание "сделать Америку снова великой").
Заметим и то, как китайские власти и СМИ реагируют на очередные припадки американской китаефобии — как большая собака на истерично лающую шавку. Китайцы терпеливо объясняют: лайте сколько угодно, это не отменяет того факта, что экономически мы связаны намертво.
И это не говоря о том факте, что Китай (как и Россия) вовсе не предлагает на глобальном уровне уничтожить Америку. Как заметил один из авторов лондонского "Экономиста", китайские идеи "альтернативы Западу" звучат эффектно, но формулируются расплывчато и непонятно что на практике означают. То есть бояться особенно и нечего.
…Простыми и антинаучными словами — пусть специалисты меня простят — паранойя означает неумение общественно активного человека правильно оценить свое место в обществе: ему все время кажется, что все вокруг то ли его обожают, то ли ненавидят и преследуют. Шизофреник — это, наоборот, мечтатель, уходящий от общества в свой иллюзорный мир. Но бывает еще и параноидальная шизофрения, сочетающая обе крайности.
Так вот, истерики США и Запада из-за русских и китайских хакеров (да и вообще по поводу своего меняющегося места в мире) выглядят, скорее, как параноидальная шизофрения. С одной стороны, хочется жить в иллюзиях собственной исключительности, да еще и хорошо, развивая с другими державами торговлю и инвестиции. А с другой — есть постоянные подозрения, что эти "другие" тебя ненавидят и хотят уничтожить.
В общем, жадность и страх.
Оказавшись два года назад на втором месте по финансированию кибервойн по данным Zecurion Analytics, Китай явно не собирается останавливаться на достигнутом. Сегодня, когда типичные заголовки Reuters и Bloomberg сообщают об очередной кибератаке на Siemens, Trimble, Moody’s и даже о попытках хакеров повлиять на конфликт в Южно-Китайском море, можно констатировать, что такими темпами китайские хакеры скоро перехватят первенство у русских.
depositphotos.com
Австралия отказалась от Huawei в качестве подрядчика на подводном кабеле, соединяющем ее с Соломоновыми Островами, опасаясь угрозы национальной безопасности в получении Китаем доступа к интернет-инфраструктуре страны.
Bloomberg сообщает, что в 2016 году общее число китайских кибератак утроилось: тогда жертвами атак по всему миру стали сразу семь оборонных предприятий, специализирующихся на производстве ракет, радаров и навигационных технологий, пять министерств, четыре авиационные компании и две организации из сферы ядерной энергетики.
Эксперты Лаборатории Касперского также фиксируют участившиеся в 2017 году кибератаки китайских хакеров на государственные структуры и военную промышленность России. При этом глава бюро кибербезопасности Управления киберпространства КНР Чжао Цзэлян даже не скрывает готовности Китая применить военную силу для обеспечения своей информационной безопасности.
Господряд
В обнародованном в сентябре 2017 обвинительном заключении федеральные прокуроры в Питтсбурге, утверждают, что компания Boyusec (официальное название Bo Yu Guangzhou Information Technology Co.), специализирующаяся на кибербезопасности, в частности, трое ее китайских сотрудников (двое из которых соучредители Boyusec) причастны к взлому трех крупных компаний: промышленного гиганта Siemens, агентства по экономическому анализу Moody’s и компании-оператора GPS Trimble.
Эти компании зафиксировали утечку важных данных. Согласно опубликованным данным, добычей злоумышленников стали около 407 Гб данных, относящихся к категории коммерческой тайны, касательно энергетических, технологических и транспортных предприятиям Siemens.
Получив несанкционированный доступ к внутреннему почтовому серверу Moody’s Analytics, хакеры разместили правило пересылки электронной почты топ-менеджмента компании на учетную запись, контролируемую злоумышленниками. Помимо этого, сотни файлов, включая сжатые данные, которые помогли бы конкуренту Trimble создать аналогичный продукт, не затрачивая миллионы долларов на исследования, были похищены с серверов GPS-оператора.
Теперь, когда Wall Street Journal утверждает, что компания прекратила свою деятельность месяц назад, мало кто вспомнит, что именно Boyusec подозревали в осуществлении кибер-шпионажа в пользу Разведывательной Службой Министерства Государственной Безопасности Пекина, а также в связях с глобальной ИКТ- компанией Китая Huawei Technologies, которая была уличена Пентагоном в связях с китайскими военными.
Согласно внутреннему отчету Объединенного управления разведки J-2 Пентагона, Boyusec и Huawei работали вместе над созданием продуктов безопасности, которые были загружены в компьютерное и телефонное оборудование китайского производства, что позволяло китайской разведке собирать данные и контролировать компьютерное и телекоммуникационное оборудование.
Анонимная группа, известная как Intrusion Truth, опубликовала данные, которые связывают «подрядчика» китайской разведки Boyusec с кибератаками, которые были совершены группой кибер-шпионажа, известной как APT3. Согласно Intrusion Truth и Recorded Future, Boyusec является лишь одним из многих подрядчиков по кибербезопасности, которые китайское правительство использует для поддержки своих операций по сбору информации в рамках кибер-разведки.
Оба источника утверждают, что Boyusec отчитывается перед Центром оценки безопасности информационных технологий в Гуандуне (или ITSEC провинции Гуандун), который является местным подразделением Центра оценки информационных технологий Китая (CNITSEC), организации, управляемой Министерством государственной безопасности Китая (MSS). Эта иерархическая структура хорошо известна и ранее была раскрыта в публикациях Оксфордского университета.
Смартфоны-терминаторы
Сотрудник, специализирующейся на безопасности в ИТ компании Kryptowire купил на отдыхе смартфон BLU R1 HD и случайно обнаружил подозрительный сетевой трафик, который генерирует новый гаджет.
Позднее, Kryptowire определила несколько моделей мобильных устройств Android, содержащих прошивку, которая собирала конфиденциальные личные данные о своих пользователях и передавала эти конфиденциальные данные на сторонние серверы без раскрытия или согласия пользователей - эти устройства были доступны через крупные интернет-магазины в США (Amazon, BestBuy, например) и включали самые популярные смартфоны.
Масштабы бедствия, который, как оказалось, не был ограничен одним телефоном, и вправду поражают: New York Times оценил количество пораженных телефонов и прочих интеллектуальных устройств, которые держали связь с китайскими серверами, принадлежащими компании Shanghai Adups Technology Company, более известной как Adups, в более, чем 700 миллионов.
По словам вице-президента Kryptowire Тома Кариянниса, вредоносное программное обеспечение поставлялось предустановленным в устройства и осуществляло наблюдение в тайне от пользователей. Подобный вирусный функционал был обнаружен также на телефонах компании Huawei и еще одной крупной китайской телекоммуникационной фирмы ZTE (второй по величине после Huawei) и, представлял по мнению экспертов, встроенный «бэкдор», отправляющий каждый 72 часа полное содержимое текстовых сообщений, списков контактов, журналов вызовов, информации о местоположении и других данных с устройств на сторонний сервер в Китае.
Все это привело к ряду действий со стороны США и ее союзников по отключению китайских ИКТ-гигантов от американского рынка. В январе один из крупнейших американских операторов мобильной связи AT&T Inc. отказался от планов продажи телефонов Huawei в США, а в апреле власти , в том числе используемые компанией процессоры Intel и Qualcomm в течение семи лет.
Кроме того, по данным Reuters санкции США могут повлечь невозможность использования операционной системы Android от Google для мобильных устройств ZTE, что фактически поставило под вопрос существование самой компании.
Ранее индийские власти также запретили использование китайского оборудования от компаний Huawei и ZTE в приграничном регионе. Все это напоминает очередной эпизод торговой войны в силу косвенности отдельных доказательств и с учетом того, что упомянутые ИКТ-гиганты из Китая, представляют серьезную конкуренцию продукции американских компаний, которые также были замешаны в слежке за своими пользователями.
NSA и другие американские разведывательные агентства вряд ли действительно беспокоятся о том, что Huawei и ZTE шпионят за пользователями через «бэкдоры» в их телефонах. Они скорее обеспокоены тем, что китайские ИКТ-гиганты могут получить техническую возможность контроля телекоммуникационного оборудование, которое китайская компания успешно поставляет в США, и на котором строится сетевая инфраструктура страны.
Великая пушка
«Великая пушка» (Great Cannon) вошла в лексику кибервойны наряду с «Золотым щитом», или Великим Китайским файерволом, после того, как новый инструмент цензуры в Поднебесной был назван и описан исследователями из Университета Торонто. В отличие от Великого файервола, который активно изучает весь трафик на проложенных проводах, идущих в Китай и из Китая, «Великая пушка» - это оружие нападения, отличный инструмент атаки, который перехватывает зарубежный интернет-трафик, поступающий на китайские интернет-сайты, «дополняет» его вредоносным кодом и перенаправляет по своему усмотрению.
«В то время как источником атаки является часть инфраструктуры Великого файервора, атака осуществляется отдельной наступательной системой с различными возможностями и архитектурой, которую мы называем «Великой пушкой», - пишут авторы исследования.
По мнению авторов исследования из Университета Калифорнии в Беркли и Университета Торонто, недавно «Большая пушка» собрала трафик, предназначавшийся для Baidu (крупнейший китайский поисковик, аналог Google), а затем перенаправила его, уже в виде DDoS-атаки, на популярный у программистов сервис GitHub и сайт GreatFire.org, помогающий обходить применяемые в Китае интернет-блокировки, а также размещающий «зеркала» СМИ, запрещенных в Китае (например, The New York Times).
Атака, которая длилась 4 дня, использовала в качестве оружия трафик обычных пользователей китайского интернета. Временные задержки при загрузке тех или иных ресурсов увеличились всего на 1,75% - именно столько потребовалось на перехват трафика и его превращение во вредоносные запросы. Это сделало атаку незаметной для осуществляющих ее веб-серферов.
Впрочем, есть один простой способ защититься от «Великой пушки» шифровать все веб-сайты в Интернете. Система при всей своей сложности не сможет манипулировать трафиком, который эффективно шифруется. Протоколы SSL/TLS (которые большинство пользователей обычно используют, когда видят на веб-сайтах аббревиатуру HTTPS вместо HTTP) отбрасывают соединения, в которых обнаруживаются следы постороннего вмешательства, такие, как оставляет «Великая пушка». Немалую роль в борьбе с этим орудием сыграл проект Linux Foundation - Let’s Encrypt, - предоставляющий всем желающим с середины 2015 года бесплатные SSL-сертификаты.
Поскольку перехваченными рискуют стать сообщения, которые общаются с любым сервером из Китая, не использующим криптографические защиты, это объясняет то, что ядрами «Великой пушки» становятся преимущественно рядовые китайские пользователи, которые ограничены «Великим китайским файерволом» в возможности использования и посещения зашифрованных ресурсов.
«Великая пушка» Китая является третьим известным правительственным орудием на просторах Интернета, которое использует технологию подделки незашифрованного интернет-трафик пользователей для контроля над информацией или организаций атаки. Его предшественниками были QUANTUM, используемая Агентством национальной безопасности США и британская GCHQ, о которой стало известно благодаря утечкам Эдварда Сноудена. Именно это обстоятельство не позволяет западным странам подвергнуть убедительной критике те методы обеспечения «кибер-суверенитета», которые применит Китай.
Как и в случае со слежкой за пользователями смартфонов, Китай не является первопроходцем в данных направлениях, а лишь умело копирует западный подход с учетом национальных особенностей, заявляя о себе, как о равноценном участнике кибервойн. В конце концов, кибервойна, как и обычная война, есть не что иное, как продолжение политики другими средствами, как говорил прусский военачальник Карл фон Клаузевиц.
И во многом в череде взаимных обвинений и уступок просматривается в первую очередь политическая мотивация, и один из последних твитов Дональда Трампа, тому явное подтверждение: «Председатель Китая Си и я сотрудничаем в деле предоставления возможности крупной китайской телефонной компании ZTE быстро вернуться в бизнес. Слишком много людей в Китае потеряли работу. Министерство торговли проинструктировано сделать все как надо!».
Личные данные немецких политиков оказались в Сети
Как стало известно 4 января, в конце 2018 года в Twitter появились ссылки на личные данные - в том числе, паспортные и кредитных карт - 994 немецких политиков, актеров, журналистов, музыкантов. Уже 6 января по подозрению в совершении взлома арестовали 20-летнего ученика гимназии в Гессене. По данным полиции, он много времени проводил у компьютера, однако специального образования у него нет.
Российские "мишки"
За последние годы новости о хакерах и кибератаках стали уже обыденностью. Зачастую авторство взломов приписывается нескольким группам хакеров - Cozy Bear (дословно "уютный медведь", известна еще как APT29), Fancy Bear ("модный медведь", APT28) и Energetic Bear ("энерегетический медведь"), которые связывают с российскими спецслужбами. Улики косвенные, но с каждым разом их становится все больше.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Атаки на энергосети США и Германии
Летом 2018 года стало известно об атаках хакерской группировки Energetic Bear на энергосети США и Германии. По оценкам америкаснких спецслужб, в США взломщики даже дошли до этапа, когда могли включать и выключать электричество и вывели из строя потоки энергии. В ФРГ же хакерам удалось проникнуть в сети лишь нескольких компаний до того, как немецкие спецслужбы взяли ситуацию под контроль.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
США обвинили ГРУшников в кибератаках
13 июля 2018 года Минюст США (на фото - офис ведомства в Вашингтоне) обвинил 12 граждан РФ в попытке вмешаться в выборы американского президента в 2016 году. По версии следствия, сотрудники Главного разведывательного управления (ГРУ) Генштаба вооруженных сил России участвовали во взломе компьютерных систем Демократической партии и предвыборного штаба Хиллари Клинтон.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
США и Великобритания обвинили РФ в масштабной кибератаке
ФБР, министерство внутренней безопасности США и британский Центр национальной компьютерной безопасности 16 апреля 2018 года заявили, что российские хакеры атаковали госструктуры и частные компании в попытке завладеть интеллектуальной собственностью и получить доступ к сетям своих жертв. Аналогичные обвинения в тот же день озвучила министр обороны Австралии Мариз Пейн.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Bad Rabbit поразил Россию и Украину
Новый вирус Bad Rabbit поразил 24 октября серверы нескольких российских СМИ. Кроме того, хакеры атаковали несколько государственных учреждений на Украине, а также системы киевского метрополитена, министерства инфраструктуры и аэропорта Одессы. Ранее атаки Bad Rabbit были зафиксированы в Турции и Германии. Эксперты считают, что вирус распространяется методом, схожим с ExPetr (он же Petya).
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Кибератака века
12 мая 2017 года стало известно, что десятки тысяч компьютеров в 74 странах подверглись кибератаке небывалого масштаба. Вирус WannaCry шифрует данные на компьютерах, хакеры обещают снять блокировку за выкуп в 300 долларов в биткоинах. Особо пострадали медучреждения Великобритании, компания Deutsche Bahn в ФРГ, компьютеры МВД РФ, Следственного комитета и РЖД, а также Испания, Индия и другие страны.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Вирус Petya
В июне 2017 года по всему миру были зафиксированы атаки мощного вируса Petya.A. Он парализовал работу серверов правительства Украины, национальной почты, метрополитена Киева. Вирус также затронул ряд компаний в РФ. Зараженными оказались компьютеры в ФРГ, Великобритании, Дании, Нидерландах, США. Данных о том, кто стоял за распространением вируса, нет.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Атака на бундестаг
В мае 2015 года обнаружилось, что взломщики проникли во внутреннюю компьютерную сеть бундестага с помощью вредоносной программы ("трояна"). IT-эксперты обнаружили в этой атаке следы группы APT28. В пользу российского происхождения хакеров свидетельствовали, среди прочего, русскоязычные настройки вирусной программы и время проводимых ими операций, совпадавшее с московскими офисными часами работы.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Против Хиллари
В ходе предвыборной гонки за пост президента США хакеры дважды получали доступ к серверам Демократической партии кандидата Хиллари Клинтон. Американские спецслужбы и IT-компании установили, что летом 2015 года действовали представители Cozy Bear, а весной 2016-го - Fancy Bear. По мнению разведслужб США, кибератаки были санкционированы высокопоставленными российскими чиновниками.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Партия Меркель под прицелом
В мае 2016 года стало известно о том, что штаб-квартира партии Христианско-демократический союз (ХДС) канцлера ФРГ Ангелы Меркель подверглась хакерской атаке. IT-специалисты утверждали, что это взломщики из Cozy Bear пытались получить доступ к базам данных ХДС с помощью фишинга (рассылка писем со ссылками на сайты, не отличимые от настоящих), но попытки не увенчались успехом.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Допинговый взлом
В сентябре 2016 года Всемирное антидопинговое агентство (WADA) сообщило о взломе своей базы данных. Группа Fancy Bear выложила в Сеть документы со списком атлетов, которым WADA разрешило использовать в связи с лечением заболеваний препараты из списка запрещенных (терапевтические исключения). Среди них были американские теннисистки Серена и Винус Уильямс и гимнастка Симона Байлз.
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
500 млн аккаунтов Yahoo
В феврале 2017 года Минюст США выдвинул обвинения в краже данных более 500 млн аккаунтов в Yahoo против двух офицеров ФСБ Дмитрия Докучаева и Игоря Сущина. Кибератака произошла в конце 2014 года. По версии обвинения, сотрудники ФСБ наняли для этого двух хакеров. Среди жертв взлома оказались российские журналисты, правительственные чиновники из России и США и многие другие.
Следы большинства целенаправленных атак в последние годы ведут в азию, где ярким пятном выделяются шанхайские серверы. В процессе расследований специалисты отмечают такие маркеры, как китайские IP-адреса, временные штампы, языковые настройки и програмное обеспечение, специфичные для Китая. В этой статье попробуем разобраться кто же устраивает этих хакерские атаки и какие именно хакерские группировки за этим стоят.
Расследование масштабных целенаправленных атак порой занимает долги годы, поэтому подробности их проведения становятся известны далеко не сразу. Как правило к моменту их публикации все использованные уязвимости закрыты патчами, вредоносные компоненты добавлены в антивирусные базы, а C&C-серверы заблокированы. Однако в таких отчетах интересны методы, которые с небольшими изменениями продолжают использовать в новых атаках.
Китайская хакерская группа APT1 (aka Comment Crew)
Данная хакерская группировка получила идентификатор за номером один и во многом способствовала популяризации термина APT-атака — Advanced Persistent Threat. Она установила своеобразный рекорд по количеству данных, украденных у одной организации: за десять месяцев APT1 выкачала 6,5 Тбайт документов со взломанных серверов.
Есть много свидетельств тому, что APT1 создана Минобороны КНР на базе подразделения 61398 Народно-освободительной армии Китая (НОАК). По мнению специалистов FireEye, она действует с 2006 года как отдельная структура Третьего управления Генштаба НОАК. За это время APT1 выполнила как минимум 141 таргетированную атаку. Назвать точное число сложно, поскольку часть инцидентов в сфере информационной безопасности замалчивается, а для известных атак не всегда удается доказать их принадлежность конкретной группе.
Активность APT1 по регионам, изображение: fireeye.com
В соответствии с доктриной политического руководства страны «побеждать в информационных войнах» APT1 была реформирована и усилена в 2016 году.
Начало строительства новой базы APT1 в 2013 году, фото: DigitalGlobeСейчас она насчитывает в своем штате несколько тысяч людей. В основном состоит из выпускников Чжэцзянского университета и Харбинского политехнического университета с хорошим знанием английского.
Географически штаб-квартира APT1 располагается в Пудуне (новый район Шанхая), где она владеет большим комплексом зданий. Входы в них охраняются, а на всем периметре действует контрольно-пропускной режим, как на военной базе.
КПП на базе APT1, фото: city8.comЧтобы ускорить активную фазу атаки и замести следы, APT1 использовала «аэродромы подскока» - зараженные компьютеры, управляемые через RDP, и FTP-серверы, на которых размещалась боевая нагрузка. Все они географически располагались в том же регионе, где находились цели.
За двухлетний период наблюдений специалисты FireEye обнаружили 1905 случаев использования таких промежуточных узлов с 832 разных IP-адресов, причем 817 из них вели в шанхайские сети China Unicom и China Telecom, а регистрационные записи Whois прямо указывали на Пудун, где, кроме штаб-квартиры APT1, нет организаций сравнимого масштаба.
Управляли этими промежуточными узлами обычно при помощи прокси HTRAN (HUC Packet Transmit Tool) с 937 разных серверов, контролируемых APT1.
В своих атаках APT1 использовала 42 бэкдора из разных семейств. Часть из них была написана давно, распространялась в даркнете или модифицировалась на заказ (Poison Ivy, Gh0st RAT и другие), но среди этого набора выделяется Backdoor.Wualess и его более поздние модификации. Похоже, это собственная разработка APT1.
Как и в других таргетированных атаках, в сценариях APT1 боевая нагрузка доставлялась на компьютеры жертв методами социального инжиниринга (в частности, spear phishing). Основная функциональность бэкдора Wualess содержалась в библиотеке wuauclt.dll , которую троян-дроппер из зараженного письма помещал на целевых компьютерах под управлением Windows в системный каталог (%SYSTEMROOT%\wuauclt.dll).
Затем бэкдор выполнял проверку на предшествующее заражение и при необходимости прописывал себя в реестре как сервис:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wuauserv "Start" = "2" HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wuauserv \ Parameters "ServiceDll" = "%SystemRoot%\wuauclt.dll" |
- NameLess.3322.org, TCP-порт 5202;
- sb.hugesoft.org, TCP-порт 443.
Последний порт по умолчанию используется браузерами для соединения по HTTPS, поэтому обычно он не блокируется файрволами.
Получив команду, бэкдор выполнял одно из следующих действий:
- проверял скорость подключения;
- собирал и отправлял данные о системе и пользователях;
- делал скриншот и отсылал его;
- очищал DNS-кеш и подменял записи в нем;
- скачивал и запускал на выполнение очередной зловред;
- завершал указанные процессы в памяти;
- искал и отправлял файлы, соответствующие указанным критериям (в основном документы офисных форматов и архивы);
- обновлял свою версию;
- сохранял свою копию в точке восстановления (System Volume Information)
Последняя особенность затрудняла полное удаление бэкдора, поскольку ОС обычно блокировала доступ к каталогу \System Volume Information\ .
Более поздние модификации (например, Wualess.D) использовали случайные имена файлов, большой набор номеров портов для соединения с C&C-серверами и запускались как скрытая копия процесса iexplore.exe .
Другой характерной чертой APT1 стало использование WEBC2-бэкдоров. Они обладают минимальным набором функций (в основном используются для сбора сведений) и соединяются с управляющими серверами по типу браузера. Бэкдор получает от сервера веб-страницу, в тегах которой содержатся управляющие команды. Такой трафик выглядит как сетевая активность пользователя и обычно не вызывает подозрений у поведенческих анализаторов защитных систем.
Среди прочих техник обфускации трафика, используемых APT1, выделяются способы соединения с C&C-серверами у бэкдоров MaCroMaIL (имитирует работу MSN Messenger), GLooxMaIL (имитирует клиент Jabber/XMPP) и CaLenDar (его обмен данными похож на синхронизацию гугловского календаря).
Для сбора сведений о зараженных компьютерах APT1 использовала встроенные средства Windows, которые вызывались через батник (.bat), создаваемый бэкдором по команде. Напомню, что знак > указывает на перенаправление вывода в файл вместо отображения на экране, а расширение файла с логом не имеет значения, так как внутри это формат plain-text в кодировке ASCII/DOS.
@ echo off // Отключение вывода команд ipconfig / all > % TEMP % \ ipconfig . log // Сохраняет полные сведения о настройке протокола IP, список всех сетевых адаптеров и их MAC-адресов netstat - ano > % TEMP % \ netstat . log // Отображает все сетевые подключения и открытые порты, указывает идентификатор каждого процесса и сетевые адреса в числовом формате net start > % TEMP % \ services . log // Перечисляет все запущенные службы Windows tasklist / v > % TEMP % \ tasks . lst // Генерирует список всех запущенных процессов и потребляемых ими вычислительных ресурсов net user > % TEMP % \ users . lst // Сохраняет список учетных записей Windows из локальной БД net localgroup administrators > % TEMP % \ admins . lst // Выводит перечень учетных записей, входящих в локальную группу «Администраторы» net use > % TEMP % \ shares . net // Отображает список подключений к общим сетевым ресурсам net view > % TEMP % \ hosts . dmn // Показывает список хостов в текущем домене или сети |
Также при помощи соответствующих команд вида net group
Именно благодаря его примитивности данный способ сбора информации работал безотказно. Встроенные средства диагностики есть на любом компьютере с любой версией Windows. Переменная %TEMP% избавляет от необходимости искать папку для сохранения логов. В каталог для временных файлов может писать любой пользователь (и запущенный с его правами бэкдор). На файлы текстового формата (тем более - логи стандартного вида) не ругается ни один антивирус, да и для пользователя они выглядят совершенно безобидно - примерно как сбор телеметрии от Microsoft или рутинные проверки админа.
Единственное отличие заключалось в том, что собранные логи затем упаковывались в архив.rar и отправлялись на серверы APT1 для выбора дальнейших целей. Чтобы усложнить анализ утечки данных, содержащий логи архив.rar создавался с ключом -hp (указывает на необходимость шифровать не только содержимое, но и сами имена файлов).
После сбора отчетов о системе начинался следующий этап атаки для получения пользовательских паролей. В основном на этом шаге также использовались общедоступные утилиты, которые бэкдор запускал по команде C&C-сервера:
- программа сбора NTLM-хешей паролей в Windows fgdump ;
- дампер парольных хешей pwdump7 ;
- gsecdump и другие утилиты от TrueSec ;
- pass-the-hash toolkit и другие инструменты от .
Все они распознаются как not-a-virus или hacktool и не вызывают срабатывания антивирусов при соответствующих настройках (игнорировать утилиты для аудита паролей).
Подобрав пару хеш - пароль (чаще всего - простейшими атаками по словарю), в APT1 получали возможность удаленно выполнять любые действия от имени реального сотрудника компании. В том числе отправлять с его адреса и через его аккаунт в корпоративной сети (а также через его учетку VPN) новые фишинговые письма для атаки на компьютеры руководства и партнерских организаций. Именно они и хранящиеся на них данные становились конечной целью. В общей сложности APT1 ответственна за похищение информации о высокотехнологических разработках более чем у ста крупных международных компаний и связанных с ними университетов. Многие цели были успешно атакованы несколько раз.
Китайская хакерская группа APT3 (UPS Team)
Предположительно связана с MSS - Министерством государственной безопасности КНР. Действует через Центр оценки информационных технологий Китая (CNITSEC) и Центр безопасности ITSEC в Гуандуне.
Именно в деловой центр Гуандуна - Huapu Square West Tower ведут следы сразу нескольких крупных таргетированных атак. В нем находится штаб-квартира компании Boyusec, которая наряду с Huawei и ZTE сотрудничает с Shanghai Adups Technology - ключевым партнером CNITSEC.
Так или иначе, APT3 - самая технически продвинутая группа. Использует в атаках 0day-уязвимости, кастомные бэкдоры, постоянно меняет набор используемых C&C-серверов, инструментов и методов. Ее подходы хорошо иллюстрируют три крупные таргетированные атаки, подробнее о которых будет рассказано ниже.
Операция «Подпольная лиса»
APT под названием Operation Clandestine Fox началась весной 2014 года. Она затронула IE с шестой по одиннадцатую версии, что согласно NetMarketShare суммарно составляло около трети всех браузеров на тот момент.
В Clandestine Fox использовалась уязвимость CVE-2014-1776 , приводящая к атаке Use-after-free с использованием кучи.
Динамическая память, или куча (heap), устроена так, что постоянно перезаписывается крупными блоками. Обычно на запрос следующего свободного блока менеджер кучи выдает адрес того, который только что был освобожден каким-либо объектом (особенно если он такого же размера).
Суть атаки Use-after-free состоит в том, что после освобождения объектом памяти на адрес его блока еще какое-то время ссылается указатель ptr при вызове методов данного объекта. Если сперва запросить выделение динамической памяти, а затем попытаться вызвать метод только что освободившегося объекта, то менеджер кучи с большой вероятностью вернет нам старый адрес. Если в таблицу виртуальных методов (VMT, Virtual Method Table) поместить указатель на вредоносный код, а саму VMT записать в начало нового блока памяти, то зловред запустится при вызове метода хранившегося там ранее объекта.
Предотвратить такой сценарий атаки призван механизм рандомизированного выделения памяти - ASLR. Однако при операции Clandestine Fox использовались простые методы его обхода.
Самый простой из них - задействовать модули, не поддерживающие ASLR. Например, старые библиотеки MSVCR71.DLL и HXDS.DLL , которые скомпилированы без новой опции /DYNAMICBASE . Они загружаются по одним и тем же адресам в памяти и на момент атаки присутствовали на большинстве компьютеров. MSVCR71.DLL загружается IE в Windows 7 (в частности, при попытке открыть страницу помощи, начинающуюся с ms-help://), а HXDS.DLL - при запуске приложений MS Office 2007 и 2010.
Дополнительно в Clandestine Fox использовалась техника, позволяющая обойти систему предотвращения выполнения данных (DEP), подробности о ней стали известны только при анализе следующей атаки группы APT3.
Операция «Подпольный волк»
Фишинговая кампания Clandestine Wolf стала продолжением «подпольной лисы» и проводилась APT3 в 2015 году. Она стала одной из самых эффективных, поскольку в ней использовалась ошибка переполнения буфера в Adobe Flash Player, для которой тогда не было патча. Уязвимость CVE-2015-3113 затрагивала все актуальные на тот момент версии плеера для Windows, OS X и Linux. Она позволяла выполнить произвольный код почти без взаимодействия с пользователем и в обход защитных систем.
В почтовой рассылке APT3 заманивала предложением купить восстановленные iMac по льготной цене. Ссылка в письме вела на веб-страницу, содержащую flv-файл и запускающую эксплоит. Интересно, что эксплоит обходил встроенную защиту DEP (Data Execution Prevention), перехватывая управление стеком (call stack) и выполняя атаку методом возвратно-ориентированного программирования - ROP . При этой атаке вызывалась функция VirtualAlloc из Kernel32.dll и создавались указатели на внедренный шелл-код, а сам он помечался как исполняемый.
Также эксплоит преодолевал второй слой защиты, эксплуатируя известные недостатки рандомизации адресного пространства (ASLR) и внедряя исполняемый код в другие процессы (в основном в поток браузера).
Чтобы скрыть ROP-атаку, эксплоит на веб-странице был зашифрован (RC4), а ключ для его дешифровки извлекался скриптом из соседней картинки. Поэтому антивирусная проверка зараженной веб-страницы тоже не обнаруживала ничего подозрительного.
В результате пользователю достаточно было кликнуть по ссылке, чтобы на его компьютер установился бэкдор. Ни встроенные методы защиты в ОС и браузере, ни отдельные антивирусы не могли защитить от 0day-эксплоита.
Операция «Двойное нажатие»
Фишинговая кампания Double Tap проводилась осенью 2014 года с использованием двух свежих уязвимостей:
Первая уязвимость позволяет изменять размеры массива, задаваемые движком VBScript, из-за ошибки в работе функции SafeArrayRedim библиотеки OleAut32.dll . Вторая связана с системным драйвером win32k.sys и приводит к повышению привилегий на уровне ядра Windows.
Эксплоиты запускались при помощи элемента iframe, внедряемого на страницы взломанных сайтов и HTML-писем. В качестве наживки на этот раз было выбрано предложение о бесплатной подписке на месяц в клубе Playboy, дающей неограниченный доступ к фотографиям в высоком разрешении и Full HD клипам. Ссылка вела на фейковый домен playboysplus.com.
После клика по ней на компьютер загружался файл install.exe размером 46 Кбайт. Это троян-дроппер, который не содержит вредоносных функций и на момент начала атаки не детектировался антивирусами ни по сигнатурному, ни по эвристическому анализу. Он создавал два файла: doc.exe и test.exe в общем пользовательском каталоге C:\Users\Public\ . Этот жестко заданный путь отсутствовал на некоторых компьютерах, что уберегло их от заражения. Достаточно было использовать вместо него переменную (например, %USERPROFILE% или %TEMP%), чтобы столь сложная атака не заглохла в самом начале из-за недоразумения с абсолютными путями.
Файл doc.exe поддерживал 64-битную архитектуру и содержал эксплоит уязвимости CVE-2014-4113. Он был нужен для того, чтобы попытаться запустить бэкдор test.exe с правами системы. Проверка успешного запуска выполнялась консольной командой whoami .
В свою очередь, test.exe содержал код для эксплуатации уязвимости CVE-2014-6332, который был модификацией другого популярного эксплоита , входящего в состав Metasploit.
В случае успеха бэкдор устанавливал SOCKS5-прокси и отправлял короткий запрос (05 01 00) на командный сервер первого уровня по адресу 192.157.198.103, TCP-порт 1913. Если он отвечал 05 00 , бэкдор соединялся с командным сервером второго уровня по адресу 192.184.60.229, TCP-порт 81. Затем он слушал его трехбайтовые команды и выполнял их.
В ходе развития атаки бэкдор получил апгрейд, а позже антивирусы стали детектировать его как Backdoor.APT.CookieCutter , aka Pirpi .rundll32 . exe "%USERPROFILE%\Application Data\mt.dat" UpdvaMt
Rundll32 - служебная консольная программа, позволяющая вызывать явно заданные функции, экспортируемые из динамических библиотек (DLL). Изначально она создавалась для внутреннего использования в Microsoft, но затем вошла в состав Windows (начиная с 95). Если другими средствами можно обратиться к библиотеке только с корректным расширением, то Rundll32 игнорирует расширения файлов.
Выводы
Судя по всплывающим фактам, в области кибербезопасности на правительство Китая работают крупные команды профессиональных хакеров. Часть из них официально считаются армейскими подразделениями – им оформляют допуск к государственной тайне и охраняют наравне со штабными связистами. Другие действуют через коммерческие фирмы и выполняют атаки прямо из делового центра. Третьи – вольнонаёмные группы, которые часто сменяются. Похоже, что последним поручают самые грязные дела, после чего некоторых сдают правоохранительным органам, чтобы обелить репутацию правящей партии. В случае прокола их просто назначают виноватыми и нанимают следующих.
