Naikon APT

Naikon on APT:n (Advanced Persistent Threat) nimi, jonka uskotaan olevan peräisin Kiinasta. Naikon-hakkerointiryhmä havaittiin ensimmäisen kerran yli vuosikymmen sitten, vuonna 2010. Naikon APT nousi otsikoihin vuonna 2015, kun haittaohjelmien tutkijat paljastivat kyberrikollisten käyttämän infrastruktuurin. Tämän paljastuksen ansiosta yksi Naikon-hakkerointiryhmän jäsenistä jäi lainvalvontaviranomaisten kiinni. Tämän huijauksen jälkeen kyberturvallisuusanalyytikot olettivat, että Naikon APT oli lopettanut toimintansa. Kuitenkin Naikon hakkerointi ryhmä on reemerged kanssa Aria kehon takaoven hiljattain - uusi uhka, joka on lukuisia ominaisuuksia.

Niakon hyökkää yrittäessään välttää havaitsemista

Naikon APT on hakkerointiryhmä, joka pyrkii kohdistamaan kohteena valtion virkamiehiä ja instituutioita. Suurin osa Naikon-hakkerointiryhmän hyökkäyksistä on keskittynyt Filippiineille, Vietnamiin, Indonesiaan, Myanmariin, Bruneihin ja Australiaan. Suurin osa Naikon APT:n kyberrikollisten kohteena olevista valtion instituutioista toimii yleensä ulkoasiainsektorilla tai tiede- ja teknologiateollisuudessa. Jotkut valtion omistamat yritykset ja yritykset ovat kuulemma joutuneet myös Naikon APT:n kohteeksi.

Haittaohjelmien tutkijat ovat havainneet Naikon APT:n hakkerointiarsenaalin ja ovat tulleet siihen tulokseen, että näillä henkilöillä on tapana suorittaa pitkäaikaisia tiedustelu- ja vakoiluoperaatioita. Tämä on hyvin tyypillistä hakkerointiryhmille, joiden kohteena ovat ulkomaiset hallitukset ja viranomaiset. Äskettäinen Naikon-operaatio, johon sisältyi edellä mainittu Aria-kehon hakkerointityökalu, kohdistui Australian hallitukseen. Aria-body- takaovitroijalaisen tavoitteena oli kerätä tietoja ja ottaa haltuunsa kohdennetut hallitukseen liittyvät järjestelmät. On todennäköistä, että sen jälkeen kun yksi Naikon APT:n jäsenistä saatiin kiinni vuonna 2015, hakkerointiryhmä päätti aloittaa toimintansa hiljaisemmin välttääkseen haittaohjelmien analyytikot havaitsemasta niitä. Tämä todennäköisesti sai asiantuntijat harhaan uskomaan, että Naikon-hakkerointiryhmä on jäänyt eläkkeelle.

Naikon-hakkerointiryhmä levittää Aria-body-haittaohjelmaa keihäs-phishing-sähköpostien välityksellä. Kyseiset sähköpostit on muotoiltu siten, että ne eivät herättäisi epäilyksiä kohdetta kohtaan. Väärennetyt sähköpostit sisältäisivät vioittuneen liitteen, jonka tarkoituksena on hyödyntää Microsoft Office -palvelusta löytyvää haavoittuvuutta.

Naikon saa uuden pelastusköyden kohdennettuja hyökkäyksiä varten

Vaikka Naikon pysyi näennäisen lepotilassa vuosia ja jotkut jopa spekuloivat, että APT on hajotettu sen rakennetta koskevan yksityiskohtaisen vuoden 2015 raportin jälkeen, se on nyt jälleen nostanut päätään.

Check Pointin kanssa työskentelevät tutkijat havaitsivat, että Naikon on käyttänyt viimeiset vuodet jatkuvasti samalle alueelle – Aasian ja Tyynenmeren alueella sijaitseviin maihin ja organisaatioihin. Naikonin hyökkäämiä alueita ovat Australia, Indonesia, Vietnam, Brunei, Thaimaa ja Myanmar. Pääasiallinen noissa hyökkäyksissä käytetty työkalu oli Naikonin Aria-body-takaovi ja RAT-työkalu.

Uusimpien hyökkäysten kohteena ovat muun muassa valtion ministeriöt ja valtion omistamat yritykset. Utelias havainto on, että kun Naikon saa jalansijan ulkomaisessa entiteetissä, se käyttää sitä haittaohjelmien levittämiseen edelleen. Yksi tällainen esimerkki on ulkomaan suurlähetystö, jota käytettiin haittaohjelmien levittämiseen isäntämaansa hallitukselle. Tämä lähestymistapa käyttää tunnettuja ja luotettuja yhteyshenkilöitä suurlähetystössä, mikä helpottaa soluttautumista.

Äskettäisessä hyökkäyksessä Aria-rungon hyötykuorma toimitettiin Rich Text Format -tiedoston kautta nimeltä "The Indian Way.doc". Tiedosto oli aseistautunut käyttämään tiettyjä hyväksikäyttöjä RoyalRoad- työkalulla. Kun Rich Text Format -tiedosto avataan, se pudottaa tiedoston nimeltä "Intel.wll", joka toimii latausohjelmana, joka yrittää ladata toisen vaiheen hyötykuorman etätoimialueelta.

Asiantuntijat uskovat, että Naikonin hyökkäysten tarkoituksena on tiedustelutietojen kerääminen ja hallitusten vakoilu. Naikon APT:n takana olevat huonot toimijat voivat käyttää tartunnan saaneiden järjestelmien tiedostoja ja jopa kirjata näppäinpainalluksia ja ottaa kuvakaappauksia. Osa syy siihen, miksi APT vältti uudempien toimintojensa havaitsemista niin kauan, oli se, että Naikon käytti komento- ja ohjauspisteinä hallituksen palvelimia, jotka olivat jo vaarantuneet.

Naikon APT ei ole varmasti vielä ripustanut hanskojaan. Kyberrikolliset ovat kuitenkin ryhtyneet toimenpiteisiin pysyäkseen kyberturvallisuustutkijoiden tutkan alla.

Naikon APT -kohteet

Viimeaikaisten hyökkäysten vertaaminen useiden vuosien takaisiin hyökkäyksiin osoittaa, että Naikon APT kohdistaa edelleen samoja alueita. Kuten mainittiin, heidän kohteinaan viisi vuotta sitten kuuluivat Aasian ja Tyynenmeren alueen hallitukset, ja heidän viimeaikaiset hyökkäyksensä näyttävät tekevän saman.

Yksi mielenkiintoinen seikka ryhmässä on se, että he ovat hitaasti laajentaneet jalansijaaan eri hallituksissa. Ryhmä tekee tämän käynnistämällä hyökkäyksiä yhdeltä rikkoutuneelta hallitukselta yrittääkseen tartuttaa toisen hallituksen. Oli yksi tapaus, jossa ulkomaan suurlähetystö lähetti tietämättään tartunnan saaneita asiakirjoja isäntämaansa hallitukselle. Tämä tapaus osoittaa, kuinka tehokkaasti hakkerit käyttävät hyväkseen luotettuja kontakteja soluttautuakseen uusiin kohteisiin ja kehittääkseen edelleen vakoiluverkostoaan.

Ottaen huomioon Naikon APT:n kyvyt ja kohteet käy selväksi, että hyökkäysten taustalla on tarkoitus vakoilla kohdehallituksia ja kerätä niistä tiedustelutietoa. Ryhmä kerää tiettyjä asiakirjoja kohteistaan ministeriöiden sisällä, ja myös nappaa tietoja siirrettävistä asemista, kerää kuvakaappauksia tartunnan saaneista tietokoneista ja käyttää varastettuja tietoja vakoilussa.

Jos kaikki tämä ei olisi tarpeeksi huonoa, Naikon APT on osoittautunut taitavaksi välttämään havaitsemista kulkiessaan valtion verkkojen läpi. Ryhmä tekee tämän vaarantamalla tartunnan saaneen ministeriön palvelimia ja käyttämällä näitä tietokoneita komento- ja ohjauspalvelimena varastettujen tietojen keräämiseen ja lähettämiseen. Niiden jäljittäminen on lähes mahdotonta tämän tartuntamenetelmän ansiosta. Tämä oli yksi tavoista, joilla he pystyivät välttämään havaitsemisen viiden vuoden ajan.

Aria-kehon infektioketju

Tutkimukset osoittavat, että ryhmällä on useita eri tapoja tartuttaa tietokoneita Aria-Bodylla. Ryhmän tutkinta alkoi, kun tutkijat huomasivat haitallisen sähköpostin, jonka alueella sijaitseva hallituksen suurlähetystö lähetti Australian osavaltion hallitukselle. Tartunnan saaneen asiakirjan nimi oli "The Indians Way" ja se oli RTF-tiedosto. Tiedosto oli aseistautunut RoyalRoad exploit builderilla, joka pudottaa intel.wll-latausohjelman tietokoneen Word-kansioon. Lataaja yrittää ladata seuraavan tartunnan vaiheen osoitteesta spool.jtjewifyn[.]com ja suorittaa sen.

Tämä ei olisi ensimmäinen kerta, kun hakkerit ovat käyttäneet RoyalRoad-haittaohjelmaa lopullisen toimituksen tekemiseen. Myös muut ATP-ryhmät, kuten Vicious Panda, käyttävät RoyalRoad-toimitustapaa. Naikonin on myös nähty käyttävän arkistotiedostoja, jotka sisältävät laillisia tiedostoja, jotka on ladattu haitallisilla DLL-tiedostoilla. Tämä menetelmä hyödyntää Outlookia ja muita laillisia suoritettavia tiedostoja suorittaakseen kyberhyökkäyksen kohteeseen. Naikon APT näyttää olleen erittäin taitava piiloutumaan näkyville.

Naikonin ensimmäisen vaiheen kuormaaja

Ennen kuin Aria-body RAT otetaan käyttöön, ensimmäisen vaiheen latausohjelma suorittaa useita tehtäviä tartunnan saaneessa järjestelmässä. Lataaja on vastuussa uhrin koneen pysyvyydestä, usein käyttämällä käynnistyskansiota. Sitten hyötykuorma ruiskuttaa itsensä toiseen prosessiin, joista esimerkkejä kohdistetuista prosesseista ovat dllhost.exe ja rundll32.exe. Lataaja purkaa kokoonpanonsa salauksen ja ottaa yhteyttä C&C:hen ladatakseen seuraavan vaiheen hyötykuorman - Aria-body RAT:n, joka sitten puretaan ja ladataan.

Naikonin Aria-kehon prosessipolku

Tarkempi katsaus Aria-kehoon

Naikonin äskettäisissä hyökkäyksissä käytettiin jälleen Aria-rungon mukautettua RAT:ia, jonka APT oli todennäköisesti kehittänyt tarkoituksiinsa. Hyötykuorman tiedostonimeä tutkijat käyttivät sen nimeen - aria-body-dllx86.dll. Mukautetulla RAT:lla on samat toiminnot kuin useimmissa muissa RAT:eissa:

• tiedostojen ja hakemistojen käsittely
• ottamalla kuvakaappauksia
• tiedostojen etsiminen
• tiedostojen käynnistäminen ShellExecute-funktiolla
• TCP-istunnon sulkeminen
• uhrin järjestelmän sijainnin tarkistaminen Amazonin "checkip"-palvelun avulla

Tutkijat ovat havainneet erilaisia Aria-rungon tapauksia, joissa oli myös joitain seuraavista toiminnoista:

• USB-tietojen kerääminen
• näppäinpainallusten kirjaaja
• käänteinen sukat välityspalvelin

Aria-bodyn ensimmäinen tehtävä on raaputtaa mahdollisimman paljon tietoa uhrijärjestelmästä. Kerättyjä tietoja ovat isäntänimi, käyttäjätunnus, käyttöjärjestelmäversio, suorittimen taajuus, MachineGUID-avain ja julkinen IP-osoite. Kerätty tietopaketti pakataan satunnaisesti luodulla salasanalla, joka sitten salataan.

RAT voi kommunikoida C&C-palvelimiensa kanssa joko HTTP:n tai TCP:n avulla. Se, mitä protokollista käytetään, määrittää latauslaitteen kokoonpanossa oleva lippu. Uhrin pakatut järjestelmätiedot siirretään C&C:lle yhdessä salatun arkiston salasanan kanssa. Kun siirto on valmis, RAT alkaa kuunnella C&C:ään saapuvia komentoja varten.