APT31/Ζιρκόνιο
Το APT31 είναι μια ομάδα Advanced Persistent Threat με επίκεντρο την κλοπή πνευματικής ιδιοκτησίας και την κακή διαφήμιση. Αυτή η ομάδα ονομάζεται επίσης Zirconium, Judgment Panda και Bronze Vinewood από διαφορετικούς οργανισμούς ασφαλείας. Όπως και με τις περισσότερες άλλες ομάδες APT, υπάρχουν υποψίες ότι το APT31 μπορεί να χρηματοδοτείται από το κράτος και σε αυτήν την περίπτωση το ύποπτο κράτος είναι η Κίνα. Το καλοκαίρι του 2020 η Ομάδα Ανάλυσης Απειλών Google πρότεινε ότι η APT31 στόχευε την προεδρική εκστρατεία του Τζο Μπάιντεν με μηνύματα ηλεκτρονικού ψαρέματος.
Πρόσφατα, το TAG είδε την ομάδα China APT να στοχεύει το προσωπικό της εκστρατείας του Μπάιντεν και το Iran APT να στοχεύει το προσωπικό της εκστρατείας Τραμπ με ηλεκτρονικό ψάρεμα. Κανένα σημάδι συμβιβασμού. Στείλαμε στους χρήστες προειδοποίηση για την επίθεση της κυβέρνησης και αναφερθήκαμε στις αρχές επιβολής του νόμου. https://t.co/ozlRL4SwhG
— Shane Huntley (@ShaneHuntley) 4 Ιουνίου 2020
Διαδικασία αναγκαστικής ανακατεύθυνσης του APT31
Το 2017, το APT31 εκτελούσε τη μεγαλύτερη επιχείρηση κακόβουλης διαφήμισης. Ο όμιλος είχε δημιουργήσει τουλάχιστον 28 εταιρείες ψεύτικων διαφημίσεων. Σύμφωνα με το Confiant, η Zirconium είχε αγοράσει περίπου 1 δισεκατομμύριο προβολές διαφημίσεων και είχε καταφέρει να φτάσει στο 62% όλων των ιστότοπων που είχαν έσοδα από διαφημίσεις. Ο κύριος φορέας επίθεσης APT31 που χρησιμοποιήθηκε ήταν η αναγκαστική ανακατεύθυνση. Μια αναγκαστική ανακατεύθυνση συμβαίνει όταν κάποιος που περιηγείται σε έναν ιστότοπο ανακατευθύνεται σε άλλο ιστότοπο χωρίς ο χρήστης να προβεί σε καμία ενέργεια. Ο ιστότοπος στον οποίο καταλήγει ο χρήστης χρησιμοποιείται συνήθως ως μέρος μιας απάτης ή οδηγεί σε μόλυνση από κακόβουλο λογισμικό.
Στιγμιότυπο οθόνης αρχικής σελίδας MyAdsBro - πηγή: Ιστολόγιο Confiant.com
Το APT31 δημιούργησε και χρησιμοποίησε το Beginads, μια ψεύτικη διαφημιστική εταιρεία, για να δημιουργήσει σχέσεις με πλατφόρμες διαφημίσεων. Στη συνέχεια, έγινε ο τομέας που θα χρησιμοποιούσε η Zirconium για να κατευθύνει την επισκεψιμότητα για όλες τις καμπάνιες όλων των ψεύτικων πρακτορείων τους. Το APT31 εργάστηκε σκληρά για να βεβαιωθεί ότι είχε νόμιμες σχέσεις με μια σειρά από πραγματικές πλατφόρμες διαφημίσεων. Αυτή η προσέγγιση έδωσε επίσης στο σύστημα κάποια ανθεκτικότητα και κατέστησε λιγότερο πιθανό να εγείρει υποψίες. Το APT31 μεταπώλησε επίσης επισκεψιμότητα σε πλατφόρμες μάρκετινγκ θυγατρικών. Αυτή η ρύθμιση σήμαινε ότι το APT31 δεν χρειαζόταν να χειρίζεται τις σελίδες προορισμού μόνο του. Οι κυβερνοεγκληματίες προχώρησαν παραπέρα , δημιουργώντας ένα δίκτυο συνεργατών που διαχειρίζονταν οι ίδιοι. Το δίκτυο ονομαζόταν MyAdsBro. Το APT31 συνήθιζε να εκτελεί τις δικές του καμπάνιες μέσω του MyAdsBro, αλλά άλλοι μπορούσαν επίσης να προωθήσουν την επισκεψιμότητα στο MyAdsBro για προμήθεια.
Στιγμιότυπο οθόνης πίνακα ιστού πελατών - πηγή: Ιστολόγιο Confiant.com
Μόλις πραγματοποιήθηκαν οι ανακατευθύνσεις, οι χρήστες δελεάστηκαν να ενεργοποιήσουν τη μόλυνση μέσω ορισμένων από τις πιο δημοφιλείς τακτικές:
- Ψεύτικα αναδυόμενα παράθυρα ενημέρωσης του Adobe Flash Player
- Ψεύτικα αναδυόμενα παράθυρα προστασίας από ιούς
- Απάτες τεχνικής υποστήριξης
- Διάφορα τρομακτικά μηνύματα
Το APT31 έκανε τα αδύνατα δυνατά όταν καθιέρωσε το σχέδιό του και το έκανε να φαίνεται νόμιμο. Όλα τα πλαστά πρακτορεία είχαν διάφορα υλικά μάρκετινγκ, ψεύτικους αξιωματικούς με προφίλ στα μέσα κοινωνικής δικτύωσης, ακόμη και αναρτήσεις στα εν λόγω μέσα με μοναδικό περιεχόμενο. Οι περισσότερες από τις εταιρείες μαζικής παραγωγής του Zirconium κυκλοφόρησαν την άνοιξη του 2017. Δεν χρησιμοποιήθηκαν όλες οι 28, καθώς 8 από αυτές δεν ξεκίνησαν ποτέ την παρουσία τους στα μέσα κοινωνικής δικτύωσης και δεν συμμετείχαν σε διαφημιστικές δραστηριότητες . Οι προσπάθειες του κυβερνοεγκληματία ήταν σαφώς επιτυχείς. Τα ψεύτικα πρακτορεία της APT31 κατάφεραν να δημιουργήσουν άμεσες επιχειρηματικές σχέσεις με 16 πραγματικές πλατφόρμες διαφημίσεων.
Μόνο ένα μικρό μέρος της κίνησης ανακατευθύνθηκε σε πραγματικό ωφέλιμο φορτίο. Προκειμένου να αποφευχθεί ο εντοπισμός και η ανάλυση, το Zirconium χρησιμοποίησε μεθόδους διαφυγής. Το APT31 χρησιμοποίησε μια τεχνική που ονομάζεται δακτυλικό αποτύπωμα. Είναι μια διαδικασία όπου οι εγκληματίες του κυβερνοχώρου συλλέγουν πληροφορίες σχετικά με τα συστήματα των πιθανών θυμάτων για να στοχεύσουν με μεγαλύτερη ακρίβεια ένα συγκεκριμένο μέρος του κοινού. Ο στόχος των κυβερνοεγκληματιών όταν χρησιμοποιούν δακτυλικά αποτυπώματα είναι να αποφύγουν τον εντοπισμό. Για το σκοπό αυτό, θα χρησιμοποιούσαν JavaScript στο πρόγραμμα περιήγησης για να προσπαθήσουν να εξακριβώσουν εάν το σενάριο εκτελούνταν σε έναν σαρωτή ασφαλείας. Εάν ανιχνεύονταν σημάδια σαρωτή, το ωφέλιμο φορτίο δεν θα παραδοθεί. Υπάρχει κίνδυνος με τη λήψη δακτυλικών αποτυπωμάτων. Το σενάριο είναι ορατό σε όποιον το αναζητά και αυτό μπορεί να εγείρει υποψίες, αλλά το δακτυλικό αποτύπωμα επιτρέπει μεγαλύτερο αριθμό αναπτύξεων του ωφέλιμου φορτίου.
Το APT31 αξιοποιεί τις ύπουλες τακτικές του
Υπάρχουν άλλοι τρόποι για να αποφύγετε τον εντοπισμό που δεν περιλαμβάνουν την εκτέλεση ενός σεναρίου από την πλευρά του χρήστη. Οι μηχανισμοί από την πλευρά του διακομιστή μπορεί να είναι πιο ασφαλείς στην εφαρμογή τους, καθώς ένας ερευνητής ασφαλείας δεν θα είναι σε θέση να τους αναλύσει εάν δεν ενεργοποιηθούν. Μια τέτοια προσέγγιση είναι να ελέγξετε εάν η IP του χρήστη είναι IP κέντρου δεδομένων. Οι σαρωτές χρησιμοποιούν συχνά IP κέντρου δεδομένων και η ανίχνευση μιας τέτοιας IP θα ήταν ένα σαφές σημάδι ότι δεν αναπτύσσεται το ωφέλιμο φορτίο.
Παρά την εντυπωσιακή κλίμακα της λειτουργίας κακόβουλης διαφήμισης του APT31, οι ερευνητές ασφαλείας εξακολουθούν να αναγνωρίζουν ότι το κύριο επίκεντρό τους είναι η κλοπή πνευματικής ιδιοκτησίας. Το πραγματικό εύρος όλων των εργασιών του Zirconium είναι ακόμα άγνωστο, όπως και η δυνατότητά τους να βλάψουν.
