APT31/Zirconi

APT31 és un grup d'amenaces persistents avançades centrat en el robatori de propietat intel·lectual i la publicitat malintencionada. Aquest grup també rep el nom de Zirconium, Judgment Panda i Bronze Vinewood per diferents organitzacions de seguretat. Com amb la majoria dels altres grups APT, hi ha sospites que l'APT31 pot ser patrocinat per l'estat i, en aquest cas, l'estat sospitós és la Xina. A l'estiu del 2020, el Grup d'anàlisi d'amenaces de Google va suggerir que APT31 s'orientava a la campanya presidencial de Joe Biden amb correus electrònics de pesca.

Recentment, TAG va veure que el grup de l'APT de la Xina s'orientava al personal de la campanya de Biden i l'APT de l'Iran s'orientava al personal de la campanya de Trump amb pesca. Cap senyal de compromís. Vam enviar als usuaris el nostre avís d'atac del govern i ens vam referir a les forces de l'ordre. https://t.co/ozlRL4SwhG

— Shane Huntley (@ShaneHuntley) 4 de juny de 2020

Procés de redirecció forçada d'APT31

L'any 2017, APT31 estava executant l'operació de publicitat malintencionada més gran. El grup havia creat no menys de 28 empreses de publicitat falsa. Segons Confiant, Zirconium havia comprat aproximadament 1.000 milions de visualitzacions d'anuncis i havia aconseguit arribar al 62% de tots els llocs web monetitzats amb anuncis. El principal vector d'atac APT31 utilitzat va ser la redirecció forçada. Una redirecció forçada es produeix quan algú que navega per un lloc web és redirigit a un altre lloc web sense que l'usuari faci cap acció. El lloc web on acaba l'usuari s'utilitza habitualment com a part d'una estafa o condueix a una infecció de programari maliciós.

Captura de pantalla de la pàgina d'inici de MyAdsBro - font: bloc de Confiant.com

APT31 va crear i utilitzar Beginads, una agència de publicitat falsa, per establir relacions amb plataformes publicitàries. A continuació, es va convertir en el domini que Zirconium utilitzaria per dirigir el trànsit de totes les campanyes de totes les seves agències falses. APT31 va treballar dur per assegurar-se que tinguessin relacions legítimes amb diverses plataformes publicitàries reals. Aquest enfocament també va donar una certa resiliència a l'esquema i va fer que fos menys probable que aixequés sospites. APT31 també va revendre trànsit a plataformes de màrqueting d'afiliació. Aquest acord va significar que APT31 no hagués de fer funcionar les pàgines de destinació per si mateix. Els ciberdelinqüents van anar més enllà , creant una xarxa d'afiliats que ells mateixos operaven. La xarxa es deia MyAdsBro. APT31 solia executar les seves pròpies campanyes a través de MyAdsBro, però altres també podien impulsar el trànsit a MyAdsBro per una comissió.

Captura de pantalla del tauler web del client - font: blog de Confiant.com

Un cop es van fer les redireccions, els usuaris van ser seduïts per habilitar la infecció mitjançant algunes de les tàctiques més populars:

• Falses finestres emergents d'actualització d'Adobe Flash Player
• Falses finestres emergents antivirus
• Estafes de suport tècnic
• Diversos missatges d'espanyol

APT31 va fer tot el possible per establir el seu esquema i fer-lo semblar legítim. Totes les agències falses tenien diversos materials de màrqueting, oficials falsos amb perfils a les xarxes socials i fins i tot publicacions en aquests mitjans amb contingut únic. La majoria de les empreses produïdes en massa de Zirconium es van llançar a la primavera del 2017. No totes les 28 es van utilitzar, ja que 8 d'elles mai van començar la seva presència a les xarxes socials i no es van involucrar en cap activitat publicitària . Els esforços del cibercriminal van tenir clarament un èxit. Les agències falses d'APT31 van aconseguir crear relacions comercials directes amb 16 plataformes publicitàries reals.

Només una petita part del trànsit es va redirigir a una càrrega útil real. Per evitar la detecció i l'anàlisi, el zirconi va utilitzar mètodes d'evasió. APT31 va utilitzar una tècnica anomenada empremta digital. És un procés on els ciberdelinqüents recullen informació sobre els sistemes de les víctimes potencials per dirigir-se amb més precisió a una part concreta de l'audiència. L'objectiu dels ciberdelinqüents quan utilitzen empremtes digitals és evitar la detecció. Amb aquesta finalitat, utilitzarien JavaScript al navegador per provar d'esbrinar si l'script s'està executant amb un escàner de seguretat. Si es detectessin signes d'un escàner, la càrrega útil no es lliuraria. Hi ha un risc relacionat amb la presa d'empremtes digitals. L'script és visible per a qualsevol que el busqui i això pot generar sospita, però l'empremta digital permet un major nombre de desplegaments de la càrrega útil.

APT31 aprofita les seves tàctiques furtives

Hi ha altres maneres d'eludir la detecció que no impliquen executar un script per part de l'usuari. Els mecanismes del costat del servidor poden ser més segurs d'aplicar, ja que un investigador de seguretat no els podria analitzar tret que s'activin. Un d'aquests enfocaments és comprovar si la IP de l'usuari és una IP del centre de dades. Els escàners sovint utilitzen IP del centre de dades i detectar aquesta IP seria un senyal clar per no desplegar la càrrega útil.

Malgrat la impressionant escala de l'operació de publicitat malintencionada d'APT31, els investigadors de seguretat encara identifiquen que el seu objectiu principal és el robatori de propietat intel·lectual. L'abast real de totes les operacions de Zirconi encara es desconeix, així com el seu potencial per fer mal.