APT31/Zirconium

APT31 je skupina pokročilých persistentních hrozeb se zaměřením na krádeže duševního vlastnictví a škodlivou reklamu. Tato skupina se také nazývá Zirconium, Judgment Panda a Bronze Vinewood různými bezpečnostními organizacemi. Stejně jako u většiny ostatních skupin APT existuje podezření, že APT31 může být sponzorován státem, a v tomto případě je podezřelým státem Čína. V létě roku 2020 skupina pro analýzu hrozeb Google navrhla, že APT31 cílí na prezidentskou kampaň Joe Bidena phishingovými e-maily.

Nedávno TAG viděla čínskou skupinu APT zaměřenou na zaměstnance kampaně Biden a Írán APT zaměřenou na zaměstnance kampaně Trump pomocí phishingu. Žádné známky kompromisu. Uživatelům jsme zaslali varování před útokem na vládu a odkazovali jsme na krmení donucovacích orgánů. https://t.co/ozlRL4SwhG

- Shane Huntley (@ShaneHuntley) 4. června 2020

Proces nuceného přesměrování APT31

V roce 2017 provozovala APT31 největší operaci malvertisingu. Skupina vytvořila ne méně než 28 falešných reklamních společností. Podle společnosti Confiant Zirconium koupilo přibližně 1 miliardu zhlédnutí reklam a podařilo se mu dostat se na 62% všech webů zpeněžitých z reklam. Použitým hlavním útočným vektorem APT31 bylo vynucené přesměrování. K vynucenému přesměrování dochází, když je někdo procházející web přesměrován na jiný web, aniž by uživatel provedl jakoukoli akci. Web, na kterém uživatel skončí, se běžně používá jako součást podvodu nebo vede k napadení malwarem.

Screenshot domovské stránky MyAdsBro - zdroj: blog Confiant.com

APT31 vytvořila a použila falešnou reklamní agenturu Beginads k navázání vztahů s reklamními platformami. Z linie se stala doména, kterou by Zirconium používalo k směrování provozu pro všechny kampaně všech jejich falešných agentur. APT31 tvrdě pracoval, aby se ujistil, že mají legitimně vypadající vztahy s řadou skutečných reklamních platforem. Tento přístup také dal systému určitou odolnost a snížil pravděpodobnost, že vzbudí podezření. APT31 také dále prodával provoz na přidružené marketingové platformy. Toto uspořádání znamenalo, že APT31 nemusel obsluhovat vstupní stránky samostatně. Kyberzločinci šli dále a vytvořili přidruženou síť, kterou sami provozovali. Síť se jmenovala MyAdsBro. APT31 dříve provozovala své vlastní kampaně prostřednictvím MyAdsBro, ale ostatní také mohli provozovat MyAdsBro za provizi.

Screenshot webového panelu zákazníka - zdroj: blog Confiant.com

Jakmile došlo k přesměrování, uživatelé byli lákáni k povolení infekce pomocí některé z nejpopulárnějších taktik:

• Falešná vyskakovací okna s aktualizací přehrávače Adobe Flash Player
• Falešná antivirová vyskakovací okna
• Podvody s technickou podporou
• Různé zprávy scareware

APT31 šel do krajnosti, když vytvořil svůj systém a vypadal legitimně. Všechny falešné agentury měly různé marketingové materiály, falešné důstojníky s profily v sociálních médiích a dokonce i příspěvky v uvedených médiích s jedinečným obsahem. Většina masově vyráběných společností Zirconium byla zahájena na jaře roku 2017. Ne všech 28 bylo použito, protože 8 z nich nikdy nezačalo svou přítomnost na sociálních médiích a nezúčastnilo se žádných reklamních aktivit . Úsilí počítačového zločince bylo zjevně úspěšné. Falešné agentury APT31 dokázaly vytvořit přímé obchodní vztahy se 16 skutečnými reklamními platformami.

Pouze malá část provozu byla přesměrována na skutečné užitečné zatížení. Aby se zabránilo detekci a analýze, používal Zirconium únikové metody. APT31 používal techniku zvanou otisky prstů. Je to proces, kdy kyberzločinci shromažďují informace o systémech potenciálních obětí, aby přesněji zacílili na konkrétní část publika. Cílem počítačových zločinců při používání otisků prstů je vyhnout se odhalení. Za tímto účelem by pomocí prohlížeče JavaScript vyzkoušeli, zda skript běží proti bezpečnostnímu skeneru. Pokud by byly zjištěny známky skeneru, užitečné zatížení by nebylo doručeno. S otisky prstů existuje riziko. Skript je viditelný pro každého, kdo jej hledá, a to může vzbuzovat podezření, ale otisky prstů umožňují vyšší počet nasazení užitečného zatížení.

APT31 využívá svoji záludnou taktiku

Existují i jiné způsoby, jak se vyhnout detekci, které nezahrnují spuštění skriptu na straně uživatele. Mechanismy na straně serveru mohou být bezpečnější, protože bezpečnostní výzkumník by je nemohl analyzovat, pokud by se nespustily. Jedním z takových přístupů je zkontrolovat, zda je IP adresa uživatele IP datového centra. Skenery často používají adresy IP datového centra a detekce takové adresy IP by byla jasným znamením, že nelze nasadit užitečné zatížení.

Navzdory působivému rozsahu malwarové operace APT31 bezpečnostní vědci stále identifikují své hlavní zaměření na krádež duševního vlastnictví. Skutečný rozsah všech operací zirkonia není dosud znám, stejně jako jejich potenciál škodit.