APT31 / Zirconium

APT31 er en gruppe med avanceret vedvarende trussel med fokus på tyveri af intellektuel ejendom og malvertising. Denne gruppe kaldes også Zirconium, Judgment Panda og Bronze Vinewood af forskellige sikkerhedsorganisationer. Som med de fleste andre APT-grupper er der mistanke om, at APT31 kan være statsstøttet, og i dette tilfælde er den mistænkte stat Kina. I sommeren 2020 foreslog Google Threat Analysis Group, at APT31 målretter mod Joe Bidens præsidentkampagne med phishing-e-mails.

APT31's tvungne omdirigeringsproces

Tilbage i 2017 kørte APT31 den største malvertiseringsoperation. Gruppen havde oprettet ikke mindre end 28 falske reklamevirksomheder. Ifølge Confiant havde Zirconium købt ca. 1 milliard annoncevisninger og havde formået at komme på 62% af alle annoncerede websteder. Den primære angrebsvektor APT31, der blev anvendt, var tvungen omdirigering. En tvunget omdirigering opstår, når nogen, der gennemsøger et websted, omdirigeres til et andet websted uden at brugeren foretager sig noget. Hjemmesiden, som brugeren ender på, bruges ofte som en del af et fupnummer eller fører til en malwareinfektion.

myadsbro apt31 hjemmeside
MyAdsBro startside screenshot - kilde: Confiant.com blog

APT31 oprettede og brugte Beginads, et falsk reklamebureau, til at etablere forhold til annonceplatforme. Nedenfor blev det domænet, som Zirconium ville bruge til at lede trafik til alle kampagner for alle deres falske agenturer. APT31 arbejdede hårdt for at sikre, at de havde et legitimt forhold til en række ægte annonceplatforme. Denne tilgang gav ordningen også en vis modstandsdygtighed og gjorde det mindre tilbøjelige til at rejse mistanke. APT31 videresolgte også trafik til tilknyttede marketingplatforme. Dette arrangement betød, at APT31 ikke behøvede at betjene destinationssiderne alene. Cyberkriminelle gik længere og skabte et tilknyttet netværk, som de selv drev. Netværket blev kaldt MyAdsBro. APT31 plejede at køre deres egne kampagner gennem MyAdsBro, men andre kunne også skubbe trafik til MyAdsBro for en provision.

myadsbro kundeside
Skærmbillede af kundens webpanel - kilde: Confiant.com-blog

Når omdirigeringerne fandt sted, blev brugerne lokket til at muliggøre infektionen gennem nogle af de mest populære taktikker:

  • Falske pop op-vinduer til Adobe Flash Player opdateres
  • Falske antivirus-pop op-vinduer
  • Teknisk support-svindel
  • Forskellige scareware-meddelelser

APT31 gik meget langt, da de oprettede deres skema og fik det til at se legitimt ud. Alle de falske agenturer havde forskellige markedsføringsmaterialer, falske officerer med profiler i sociale medier og endda indlæg i nævnte medier med unikt indhold. De fleste af Zirconiums masseproducerede virksomheder blev lanceret i foråret 2017. Ikke alle de 28 blev brugt, da 8 af dem aldrig startede deres tilstedeværelse på sociale medier og ikke blev involveret i nogen reklameaktiviteter . Cyberkriminals indsats var klart vellykket. APT31's falske bureauer formåede at skabe direkte forretningsforbindelser med 16 rigtige annonceplatforme.

Kun en lille del af trafikken blev omdirigeret til en faktisk nyttelast. For at undgå påvisning og analyse anvendte Zirconium unddragelsesmetoder. APT31 anvendte en teknik kaldet fingeraftryk. Det er en proces, hvor cyberkriminelle indsamler oplysninger om systemerne for de potentielle ofre for mere præcist at målrette mod en bestemt del af publikum. Målet med cyberkriminelle, når de bruger fingeraftryk, er at undgå afsløring. Til dette formål bruger de JavaScript i browseren til at forsøge at fastslå, om scriptet kører mod en sikkerhedsscanner. Hvis der blev registreret tegn på en scanner, blev nyttelasten ikke leveret. Der er en risiko forbundet med fingeraftryk. Scriptet er synligt for alle, der leder efter det, og det kan skabe mistanke, men fingeraftryk tillader et højere antal implementeringer af nyttelasten.

APT31 udnytter sine luskede taktikker

Der er andre måder at undgå afsløring, der ikke involverer at køre et script på brugerens side. Serversidemekanismer kan være sikrere at anvende, da en sikkerhedsforsker ikke ville være i stand til at analysere dem, medmindre de udløses. En sådan tilgang er at kontrollere, om brugerens IP er en datacenter-IP. Scannere bruger ofte datacenter-IP'er, og detektering af en sådan IP ville være et klart tegn på ikke at distribuere nyttelasten.

På trods af den imponerende omfang af APT31's malvertiserende operation identificerer sikkerhedsforskere stadig deres hovedfokus som tyveri af intellektuel ejendom. Det virkelige omfang af alle Zirconiums operationer er stadig ukendt, ligesom deres potentiale til at skade.

Trending

Mest sete

Indlæser...