Вирусология от Лаборатории Касперского. Часть II: от Epic Turla до Duqu 2.0

Целевые атаки стали неотъемлемой частью общей ситуации в области киберугроз, поэтому нет ничего удивительного в том, что они стали лейтмотивом года.

2014 год
Февраль: Маска
Сложная кибершпионская кампания, получившая название «Careto», или «Маска» (Careto – испанское жаргонное слово, означающее «рожа» или «маска»), была нацелена на кражу конфиденциальных данных у определенных организаций. В числе жертв оказались государственные учреждения, посольства, энергетические компании, исследовательские институты, частные инвестиционные компании и активисты из 31 страны мира. В состав Careto входил сложный троянец-бэкдор, способный перехватывать различные каналы обмена ифоримацией и собирать самые разные данные на зараженных компьютерах, в том числе ключи шифрования, настройки VPN, ключи SSH, RDP-файлы, а также некоторые неизвестные типы файлов, возможно, имеющие отношение к заказным инструментам шифрования правительственного или военного уровня.

Чрезвычайно высокий уровень профессионализма тех, кто стоит за этой кампанией, не характерен для киберпреступных групп – это один из признаков, говорящих о возможной поддержке Careto на государственном уровне. Как и другие кампании, связанные с целевыми атаками, Careto в течение достаточно долгого времени оставалась в тени: судя по всему, группа активно действует с 2007 года.  

В начале марта 2014 года эксперты в области безопасности много обсуждали кибершпионскую кампанию Epic Turla. По мнению экспертов компании G DATA вредоносная программа, возможно, была создана российскими спецслужбами. А исследование, проведенное BAE Systems, установило связь между ней и вредоносной программой, известной под названием «Agent.btz», которая была создана в 2007 году и использовалась в 2008 году для заражения локальных сетей американского военного командования на Ближнем Востоке.

В центре внимания нашего первоначального анализа Epic Turla было использование вредоносной программой USB-накопителей для хранения украденных данных, которые невозможно отправить на командный сервер злоумышленников напрямую через интернет.

Червь записывает файл под названием thumb.dd на все USB-накопители, подключенные к зараженному компьютеру. Если впоследствии накопитель подключается к другому компьютеру, файл thumb.dd копируется на этот компьютер. Epic Turla – не единственная вредоносная программа, «знающая» о файле thumb.dd. В частности, он входит в число файлов модуля USB Stealer в Red October. Если заглянуть еще дальше назад, Gauss и miniFlame «знали» о thumb.dd и искали этот файл на USB-накопителях. Схему, на которой показаны точки соприкосновения этих шпионских кампаний можно найти здесь. Вероятно, по всему миру разбросаны десятки тысяч флешек с файлом thumb.dd, созданным этой вредоносной программой.

В нашем последующем анализе Epic Turla мы объяснили, как злоумышленники использовали социальную инженерию для распространения вредоносного ПО, а также охарактеризовали общую структуру кампании. Киберпреступники используют адресную рассылку электронных писем, обманным путем побуждая жертв установить на свои компьютеры бэкдор. Некоторые из фишинговых писем содержат эксплойты нулевого дня. Один из них использует уязвимость в Adobe Acrobat Reader, другой – уязвимость в Windows XP и Windows Server 2003, позволяющую повысить привилегии в системе.

В июне мы рассказали о выполненном нами анализе атаки на клиентов крупного европейского банка, в результате которой всего за неделю было украдено полмиллиона евро. Мы дали этой атаке название «Luuuk» по названию папки, в которой размещена панель управления командным сервером. Нам не удалось получить вредоносную программу, с помощью которой заражались компьютеры жертв, но, судя по всему, злоумышленники использовали банковский троянец, который с помощью атаки Man-in-the-Browser осуществлял вредоносную веб-инъекцию, после чего воровал учетные данные жертв. Исходя из информации, найденной в лог-файлах, вредоносная программа воровала имена пользователей, пароли и одноразовые пароли в режиме реального времени. Атакующие использовали украденные учетные данные для проверки баланса принадлежащих жертвам счетов и автоматического проведения вредоносных транзакций; вероятно, вредоносная программа при этом работала в фоновом режиме одновременно с легитимной сессией онлайн-банкинга.

Несмотря на то, что киберпреступники удалили все относящиеся к вредоносной деятельности компоненты вскоре после начала нашего расследования, мы считаем, что это было скорее обновлением инфраструктуры, чем полным свертыванием деятельности. Киберпреступники, стоящие за этой кампанией, высокопрофессиональны и очень активны. Кроме того, они, по-видимому, принимают превентивные меры для защиты своей деятельности, а будучи обнаруженными, меняют тактику и заметают следы. «Лаборатория Касперского» продолжает расследование данной кампании, о которой мы сообщили пострадавшему от атак банку и соответствующим правоохранительным органам.

В конце июня также возобновила активность кампания по проведению целевых атак, известная как MiniDuke, которая впервые появилась в начале 2013 года. Исходная кампания отличалась от других по ряду параметров. Она использовала нестандартный бэкдор, написанный на «old-school» языке ассемблера. Управление атакой осуществлялось через необычную командную инфраструктуру с применением нескольких резервных каналов, таких как учетные записи в Twitter. Разработчики скрытно передавали обновленные версии исполняемых файлов, маскируя их под GIF-изображения.

Подробный анализ кампании по проведению целевых атак, которой мы дали название Crouching Yeti. Эта кампания также известна под названием Energetic Bear, поскольку эксперты из CrowdStrike высказали мысль о том, что злоумышленники находятся в России. Мы, со своей стороны, не считаем, что имеется достаточно данных для того, чтобы подтвердить или опровергнуть этот тезис. Эта кампания, активно проводимая с конца 2010 года, до сих пор была нацелена на следующие секторы: энергетика/машиностроение, промышленность, фармацевтика, строительство, образование и информационные технологии. На сегодняшний день число жертв этой кампании превышает 2 800; нам удалось идентифицировать 101 пострадавшую от нее организацию – прежде всего в США, Испании, Японии, Германии, Франции, Италии, Турции, Ирландии, Польше и Китае. В ходе атак группа Crouching Yeti применяет несколько видов вредоносных программ (все они предназначены для ОС Windows), с помощью которых она заражает компьютеры жертв, расширяет свое присутствие в сетях интересующих ее организаций и крадет конфиденциальные данные, в том числе интеллектуальную собственность и другую важную информацию.

«Лаборатория Касперского» обнаружила новую кампанию кибершпионажа, получившую название «Мачете». Операция затронула классические в таких случаях цели: правительства, военные ведомства, правоохранительные органы и посольства. Объединяет все эти жертвы то, что абсолютное большинство из них находится в Латинской Америке. Однако часть пострадавших организаций была обнаружена и в других странах, в том числе в России, где эксперты насчитали 45 жертв из числа дипломатических структур, чьи данные оказались под ударом «Мачете».

В ходе расследования кибероперации аналитикам «Лаборатории Касперского» удалось установить, что первые атаки начались в 2010 году, а в 2012-ом инфраструктура атакующих была обновлена и усовершенствована, что позволило им широко развернуть кампанию кибершпионажа. Злоумышленники используют методы социальной инженерии и фишинговые приемы, однако случаев эксплуатирования ими уязвимостей пока не было зафиксировано. В целом эта кампания отличается довольно простыми, с технологической точки зрения, инструментами атак. Однако, к настоящему моменту от «Мачете» пострадало уже не менее 778 организаций по всему миру.

Инструменты кибершпионажа, обнаруженные на зараженных компьютерах, были способны похитить сотни гигабайт конфиденциальной информации. Использующееся в «Мачете» вредоносное ПО способно копировать файлы на удаленный сервер или на специальные USB-устройства, перехватывать символы, вводимые с клавиатуры, записывать аудиофайлы через встроенные микрофоны, делать скриншоты экрана, собирать геолокационные данные, а также делать снимки с помощью веб-камеры.

Проведен анализ APT-атаки Darkhotel – кампании, продолжающейся уже почти десятилетие и насчитывающей тысячи жертв в разных странах мира. Жертвы 90 процентов известных нам заражений находятся в Японии, на Тайване, в Китае, России и Гонконге, однако случаи заражения были также обнаружены в Германии, США, Индонезии, Индии и Ирландии.

Степень адресности атак в рамках данной кампании варьируется. Во-первых, злоумышленники применяют адресные рассылки электронных писем и эксплойты нулевого дня, чтобы проникнуть в IT-инфраструктуру организаций разных отраслей, в том числе военно-промышленного комплекса (ВПК), государственных и общественных организаций. Во-вторых, они распространяют вредоносное ПО неизбирательно через японские ресурсы P2P-обмена файлами. В-третьих, используя двухэтапный механизм заражения, они осуществляют целевые атаки на руководителей компаний, путешествующих за границей и останавливающихся в гостиницах в определенных странах. На первом этапе атакующие идентифицируют своих жертв. На втором – загружают дополнительное вредоносное ПО на компьютеры наиболее значительных жертв с целью кражи конфиденциальных данных с зараженных компьютеров.

«Лаборатория Касперского» обнаружила, что вредоносная платформа Regin оказалась первым зловредом, способным проникать в сотовые сети стандарта GSM и вести слежку за пользователями мобильной связи. Эта платформа использовалась в кибератаках по меньшей мере в 14 странах, в том числе и в России. В зоне риска оказались телекоммуникационные операторы, правительства, финансовые учреждения, исследовательские организации, а также лица, занимающиеся сложными математическими и криптографическими исследованиями.

Первые следы активности Regin были замечены экспертами «Лаборатории Касперского» еще весной 2012 года. На протяжении последних трех лет образцы этого вредоносного ПО периодически встречались, но не имели прямой связи между собой. Вместе с тем специалисты «Лаборатории Касперского» получили в свое распоряжение ряд образцов Regin в ходе расследования кибератак на правительственные учреждения и телекоммуникационные компании – и именно это позволило получить достаточно данных для глубокого исследования вредоносной платформы.

Анализ зловреда показал, что платформа Regin включает в себя множество вредоносных инструментов и модулей, способных полностью заражать сети организаций и удаленно контролировать их на всех возможных уровнях. При этом для контроля скомпрометированных корпоративных сетей злоумышленники используют довольно нетривиальный способ.

Изучив процесс передачи данных из зараженных организаций в пределах одной страны, эксперты «Лаборатории Касперского» установили, что лишь в одной из скомпрометированных сетей была установлена связь с сервером атакующих, расположенным в другой стране. В то же время все зараженные сети в одном государстве могли коммуницировать друг с другом, обмениваясь информацией. Таким образом, преступники аккумулировали все нужные им данные на серверах лишь одной жертвы. Именно эта техническая особенность платформы Regin и позволяла киберпреступникам действовать незаметно столь долгое время.

Однако наиболее интересной функцией вредоносной платформы Regin является реализованная в ней возможность атаковать GSM-сети. Согласно информации, полученной экспертами «Лаборатории Касперского» из контроллера базовой станции GSM, злоумышленники способны извлекать регистрационные данные для контроля GSM-ячеек в рамках сотовой сети телекоммуникационного оператора. Таким образом, они могут узнавать, какие звонки обрабатываются в конкретной ячейке сети, имеют возможность перенаправлять звонки в другие ячейки или активировать соседние, а также осуществлять другие вредоносные действия. В настоящее время функции контроля GSM-сетей не присутствуют ни в одном другом известном вредоносном ПО.

Пожалуй, самой нашумевшей новостью первого квартала этого года была новость о могущественной группировке Equation, занимающейся кибершпионажем. Она много лет взаимодействует с другими влиятельными группировками, такими как Stuxnet и Flame. Атаки Equation, возможно, самые изощренные: один из модулей вредоносного ПО позволяет изменять прошивку жестких дисков. С 2001 года группировка Equation сумела заразить компьютеры тысяч жертв, находящихся в Иране, России, Сирии, Афганистане, США и других странах. Сфера деятельности жертв – правительственные и дипломатические учреждения, телекоммуникации, аэрокосмическая отрасль, энергетика и прочее.

Данная группировка использует множество разнообразных вредоносных программ, некоторые из которых даже превосходят по сложности знаменитую платформу «Regin«. Среди известных методов распространения и заражения – использование USB-червя Fanny (в его арсенале было две zero-day уязвимости, которые позднее использовались в Stuxnet), присутствие вредоносных инсталляторов на CD-дисках, а также использование веб-эксплойтов.

Весной 2014 «Лаборатория Касперского» была вовлечена в криминалистическое расследование: банкоматы одного из банков выдавали деньги без физического взаимодействия получателя с банкоматом. Так началась история расследования кампании Carbanak и исследования одноименной вредоносной программы.

Carbanak является бэкдором, изначально написанным на основе кодов Carberp. Зловред предназначен для шпионажа, сбора данных и предоставления удаленного доступа на зараженный компьютер. После того, как злоумышленники получали доступ к какой-нибудь машине, они проводили разведку сети на предмет дальнейшего распространения и заражения критически важных систем – процессинговых, бухгалтерских, а также банкоматов. Нами было обнаружено три способа вывода средств из финансовых организаций:  

• через банкоматы,

• посредством перевода денег на счета киберпреступников через сеть SWIFT,

• путем внесения изменений в базы данных с целью создания фальшивых счетов, которые потом обналичивались денежными мулами.

Заражения происходили типичным для APT образом – через целевые фишинговые атаки, в ходе которых рассылались письма, содержащие документ с эксплойтом. Письма были составлены так, чтобы не вызвать подозрений, и в некоторых случаях приходили с адресов сотрудников атакованной компании.

По оценкам «Лаборатории Касперского» от действий группировки пострадало около 100 финансовых организаций, преимущественно в Восточной Европе, а суммарный ущерб может доходить до отметки в 1 миллиард долларов, что делает Carbanak самой успешной известной нам киберпреступной кампанией.

Во время проведения расследования инцидента на Ближнем Востоке экспертами «Лаборатории Касперского» была обнаружена активность неизвестной ранее группировки, проводящей таргетированные атаки. Группа была названа Соколы Пустыни (Desert Falcons), она является первой арабской группировкой, проводящей полноценные операции по кибершпионажу, которые, по всей видимости, продиктованы политической ситуацией в регионе.

Первые признаки деятельности Desert Falcons относятся к 2011 году, первые известные заражения – к 2013, пик активности группы пришелся на конец 2014 – начало 2015 года. Члены группы определенно не являются новичками в своем деле, так как они с нуля разработали вредоносные программы для Windows и для Android, а также искусно организовали атаку, в ходе которой использовались фишинговые письма, поддельные веб-сайты и поддельные аккаунты в социальных сетях.

Жертвы группы расположены, в основном, в Палестине, Египте, Израиле и Иордании. В числе жертв – политические активисты и лидеры, военные и государственные ведомства, СМИ, финансовые учреждения и другие организации. К настоящему моменту насчитывается более 3000 жертв, атакующие смогли украсть более миллиона файлов и документов.

Кроме изощренных и тщательно спланированных таргетированных рассылок писем, предназначенных для заражения жертв, отметим еще один прием Desert Falcons: использование социальной инженерии в сети Facebook. Атакующие специально создавали аккаунты для того, чтобы начать переписку с жертвой, войти к ней в доверие, а затем послать через чат вредоносную программу, замаскированную под картинку. А для более массового заражения использовались посты с вредоносными ссылками от имени скомпрометированных или поддельных аккаунтов политических деятелей.

В этом году в ходе проверки безопасности «Лаборатория Касперского» обнаружила попытку вторжения, затрагивающую несколько внутренних систем компании.

По этому факту было проведено широкомасштабное расследование, в результате которого мы обнаружили новую вредоносную платформу, разработанную одной из наиболее профессиональных, загадочных и мощных APT-группировок – Duqu. Она ушла в тень в 2012 году, и до последнего времени считалось, что проект Duqu закрыт. Как показал технический анализ, в новой серии атак применялась обновленная версия печально известного зловреда Duqu 2011 года, который иногда называют «сводным братом» Stuxnet. Мы дали этому новому зловреду и связанной с ним вредоносной платформе имя «Duqu 2.0″.

Некоторые из новых случаев заражения Duqu, датируемых 2014-2015 гг., связаны с событиями, имеющими отношение к деятельности группы P5+1, и с проведением переговоров с Ираном по ядерной программе. По всей видимости, атаки были приурочены к данным переговорам, которые проходили на высоком уровне. Кроме того, группировка, стоящая за Duqu 2.0, предприняла аналогичную атаку в связи с 70-й годовщиной освобождения Освенцима.

В атаке на «Лабораторию Касперского» использовалась уязвимость нулевого дня в ядре Windows, а также, вероятно, еще одна или две уязвимости нулевого дня, которые в данный момент уже закрыты. Как показал анализ атак, основной целью злоумышленников был шпионаж за технологиями, исследованиями и внутренними процессами «Лаборатории Касперского». Фактов вмешательства в процессы или работу систем выявлено не было. Более подробная информация представлена в техническом отчете (ENG).

Вероятно, решение атаковать компанию мирового класса в сфере IT-безопасности далось киберпреступникам нелегко. С одной стороны, такая атака практически наверняка будет раскрыта и предана гласности – вряд ли подобное нападение останется незамеченным. Таким образом, либо злоумышленники были абсолютно уверены, что их не поймают, либо им все равно, что их обнаружат и разоблачат. Атаковав «Лабораторию Касперского», группировка Duqu, видимо, решила «сыграть по-крупному», понадеявшись, что вторжение не будет обнаружено, – и проиграла.