Naikon APT

Naikon on APT (Advanced Persistent Threat) nimi, mis arvatakse pärinevat Hiinast. Naikoni häkkimisgruppi märgati esimest korda üle kümne aasta tagasi, 2010. aastal. Naikoni APT jõudis uudistesse 2015. aastal, kui pahavarauurijad avastasid küberkelmide kasutatava infrastruktuuri. Tänu sellele paljastamisele jäi korrakaitsjatele vahele Naikoni häkkimisgrupi üks liige. Pärast seda jama eeldasid küberturvalisuse analüütikud, et Naikon APT on tegevuse lõpetanud. Naikoni häkkimisrühm on aga hiljuti uuesti esile kerkinud koos Aria-kere tagaukse troojalasega – uue ohuga, millel on palju funktsioone.

Niakon ründab katset avastamisest kõrvale hiilida

Naikon APT on häkkimisrühmitus, mis kipub sihikule võtma valitsusametnikke ja institutsioone. Enamik häkkimisrühmituse Naikon rünnakutest on koondunud Filipiinidele, Vietnamisse, Indoneesiasse, Myanmari, Bruneisse ja Austraaliasse. Enamik valitsusasutusi, mille sihtmärgiks on Naikoni APT küberkelmid, tegutsevad tavaliselt välissuhete sektoris või teadus- ja tehnoloogiatööstuses. Teatavasti on Naikon APT sihtmärgiks olnud ka mõned valitsusele kuuluvad ettevõtted.

Naikoni APT häkkimisarsenali jälgides jõudsid pahavarauurijad järeldusele, et need isikud kalduvad läbi viima pikaajalisi luure- ja spionaažioperatsioone. See on väga tüüpiline häkkimisrühmitustele, mis on suunatud välisriikide valitsustele ja ametnikele. Hiljutine Naikoni operatsioon, mis hõlmas ülalmainitud Aria keha häkkimise tööriista, oli suunatud Austraalia valitsusele. Aria-kere tagaukse troojalase eesmärk oli koguda andmeid ja võtta kontrolli alla sihitud valitsusega seotud süsteemid. Tõenäoliselt otsustas häkkimisrühm pärast seda, kui Naikon APT üks liige 2015. aastal tabati, vaiksemalt tegutsema hakata, et vältida pahavara analüütikute tuvastamist. Tõenäoliselt viis see eksperdid eksitavalt uskuma, et Naikoni häkkimisrühm on pensionile läinud.

Naikoni häkkimisrühm levitab Aria-body pahavara andmepüügimeilide kaudu. Kõnealused meilid koostati eesmärgiga kahtluse tekitamise vältimiseks. Võltskirjad sisaldaksid rikutud manust, mille eesmärk on ära kasutada Microsoft Office'i teenuses leiduvat haavatavust.

Naikon saab sihitud rünnakute jaoks uue päästerõnga

Kuigi Naikon jäi aastateks näiliselt uinuma ja mõned isegi spekuleerisid, et APT on pärast üksikasjalikku 2015. aasta aruannet selle struktuuri kohta laiali saadetud, on see nüüd taas pead tõstnud.

Check Pointiga töötavad teadlased avastasid, et Naikon on viimased paar aastat pidevalt sihtinud sama piirkonda – Aasia Vaikse ookeani piirkonnas asuvaid riike ja organisatsioone. Naikoni rünnatud territooriumid on Austraalia, Indoneesia, Vietnam, Brunei, Tai ja Myanmar. Nende rünnakute peamine tööriist oli Naikoni Aria-kere tagauks ja RAT tööriist.

Viimaste rünnakute sihtmärgiks olnud organisatsioonide hulgas on ministeeriumid ja vastava riigi valitsusele kuuluvad ettevõtted. Uudishimulik tähelepanek on see, et kui Naikon saab võõras ettevõttes kanda kinnitada, kasutab ta seda pahavara edasiseks levitamiseks. Üks selline näide on välisriigi saatkond, mida kasutati pahavara levitamiseks asukohariigi valitsusele. See lähenemisviis kasutab saatkonnas tuntud ja usaldusväärseid kontakte, mis muudab sissetungimise lihtsamaks.

Hiljutise rünnaku käigus edastati Aria keha kasulik koormus Rich Text Format faili nimega "The Indian Way.doc". Fail oli relvastatud, et kasutada RoyalRoadi tööriista abil teatud ärakasutusi. Kui Rich Text Format fail on avatud, kukub see välja faili nimega "Intel.wll", mis toimib laadijana, mis üritab kaugdomeenist teise etapi kasulikku koormust alla laadida.

Eksperdid usuvad, et Naikoni rünnakute eesmärk on luureandmete kogumine ja valitsuste järele luuramine. Naikoni APT taga olevad halvad näitlejad pääsevad juurde nakatunud süsteemide failidele ja isegi logivad klahvivajutusi ja teevad ekraanipilte. Üks põhjus, miks APT oma uuemate tegevuste tuvastamisest nii kaua kõrvale hiilis, oli see, et Naikon kasutas oma juhtimis- ja juhtimispunktidena valitsuse servereid, mis olid juba ohustatud.

Naikoni APT pole kindlasti veel kindaid käest riputanud. Küll aga on küberkelmid võtnud kasutusele mõned meetmed, et jääda küberjulgeoleku uurijate radari alla.

Naikoni APT sihtmärgid

Hiljutiste rünnakute võrdlemine mitme aasta taguste rünnakutega näitab, et Naikon APT sihib jätkuvalt samu piirkondi. Nagu mainitud, olid nende sihtmärkideks viis aastat tagasi Aasia ja Vaikse ookeani piirkonna valitsused ning nende hiljutised rünnakud näivad toimivat sama.

Üks huvitav asi, mida rühma kohta märkida, on see, et nad on aeglaselt laiendanud oma jalgealust erinevates valitsustes. Rühm teeb seda, alustades rünnakuid ühe rikutud valitsuse poolt, püüdes nakatada teist valitsust. Oli üks juhtum, kus välisriigi saatkond saatis enda teadmata nakatunud dokumendid oma asukohamaa valitsusele. See juhtum näitab, kui tõhusalt kasutavad häkkerid ära usaldusväärseid kontakte, et tungida uutesse sihtmärkidesse ja arendada edasi oma spionaaživõrku.

Arvestades Naikon APT võimalusi ja sihtmärke, saab selgeks, et rünnakute eesmärk on sihtriikide valitsuste järele nuhkida ja nende kohta luureandmeid koguda. Rühm kogub oma sihtmärkidelt valitsusasutustes konkreetseid dokumente, samuti kogub andmeid eemaldatavatelt draividelt, kogub nakatunud arvutitest ekraanipilte ja kasutab varastatud andmeid spionaažiks.

Kui see pole veel piisavalt halb, on Naikon APT osutunud valitsuse võrkude läbimisel avastamisest kõrvalehoidmisel. Rühm teeb seda, ohustades nakatunud ministeeriumi servereid ja kasutades neid arvuteid käsu- ja juhtimisserverina varastatud andmete kogumiseks ja saatmiseks. Tänu sellele nakkusmeetodile on neid peaaegu võimatu jälgida. See oli üks viise, kuidas nad suutsid viis aastat avastamist vältida.

Aria-keha nakkusahel

Uuringud näitavad, et rühmal on mitu erinevat viisi arvutite Aria-Bodyga nakatamiseks. Grupi uurimine algas, kui teadlased märkasid pahatahtlikku meili, mille piirkonna valitsuse saatkond saatis Austraalia osariigi valitsusele. Nakatunud dokument kandis nime "The Indians Way" ja see oli RTF-fail. Fail oli relvastatud RoyalRoad exploit builderiga, mis kukutab laadija intel.wll arvuti Wordi kausta. Laadija proovib saidilt spool.jtjewifyn[.]com alla laadida järgmise nakkusetapi ja seda käivitada.

See poleks esimene kord, kui häkkerid on lõpliku tarne tegemiseks kasutanud RoyalRoadi pahavara. Teised ATP rühmad, nagu Vicious Panda, kasutavad samuti RoyalRoadi kohaletoimetamise meetodit. Naikonis on nähtud ka arhiivifaile, mis sisaldavad pahatahtlike DLL-failidega laaditud seaduslikke faile. See meetod kasutab sihtmärgile küberrünnaku korraldamiseks ära Outlooki ja muude seaduslike täitmisfailide eeliseid. Näib, et Naikon APT on väga vilunud silmapiiril peitu pugedes.

Naikoni esimese astme laadur

Enne Aria-body RAT-i juurutamist täidab esimese etapi laadur nakatunud süsteemis mitmeid ülesandeid. Laadija vastutab ohvri masinas püsivuse tagamise eest, kasutades sageli kausta Startup. Seejärel sisestab kasulik koormus teise protsessi, mõned näited sihitud protsessidest on dllhost.exe ja rundll32.exe. Laadija dekrüpteerib oma konfiguratsiooni ja võtab ühendust C&C-ga, et laadida alla järgmise etapi kasulik koormus - Aria-body RAT, mis seejärel dekrüpteeritakse ja laaditakse.

Naikoni aaria-keha protsessi tee

Lähem pilk Aria kehale

Naikoni hiljutised rünnakud kasutasid taas Aria-keha kohandatud RAT-i, mille APT oli tõenäoliselt oma eesmärkidel välja töötanud. Kasuliku koormuse failinime kasutasid teadlased selle nime jaoks - aria-body-dllx86.dll. Kohandatud RAT-il on enamiku teiste RAT-ide funktsioon:

• failide ja kataloogidega manipuleerimine
• ekraanipiltide tegemine
• failide otsimine
• failide käivitamine funktsiooni ShellExecute abil
• TCP-seansi sulgemine
• ohvri süsteemi asukoha kontrollimine, kasutades Amazoni kontrolliteenust

Teadlased on märganud erinevaid Aria-keha juhtumeid, millel oli ka mõni järgmistest funktsioonidest:

• USB-andmete kogumine
• klahvivajutuste logija
• tagurpidi sokid puhverserver

Aria-body esimene ülesanne on kraapida ohvrisüsteemi kohta võimalikult palju teavet. Kogutud üksikasjad hõlmavad hosti nime, kasutajanime, OS-i versiooni, protsessori sagedust, MachineGUID-võtit ja avalikku IP-aadressi. Kogutud andmete osa pakitakse juhuslikult genereeritud parooliga, mis seejärel krüpteeritakse.

RAT saab suhelda oma C&C serveritega kas HTTP või TCP abil. Seda, millist protokolli kasutatakse, määrab laaduri konfiguratsioonis olev lipp. Ohvri pakitud süsteemiandmed edastatakse koos krüptitud arhiiviparooliga C&C-sse. Pärast edastuse lõpetamist hakkab RAT kuulama oma C&C sissetulevaid käske.