APT31/זרקוניום

APT31 היא קבוצת איומים מתמשכים מתקדמים עם התמקדות בגניבת קניין רוחני וזילוף. קבוצה זו נקראת גם Zirconium, Judgment Panda ו-Bronze Vinewood על ידי ארגוני אבטחה שונים. כמו רוב קבוצות ה-APT האחרות, יש חשדות ש-APT31 עשוי להיות בחסות המדינה ובמקרה זה המדינה החשודה היא סין. בקיץ 2020, קבוצת Google Threat Analysis הציעה ש-APT31 מתמקדת בקמפיין הנשיאותי של ג'ו ביידן באמצעות אימיילים פישינג.

לאחרונה ראתה TAG קבוצת APT בסין ממקדת את צוות הקמפיין של Biden ואת איראן APT מכוונת לצוות הקמפיין של טראמפ עם דיוג. אין סימן לפשרה. שלחנו למשתמשים את אזהרת התקיפה הממשלתית שלנו והפנינו לרשויות אכיפת החוק המוזנות. https://t.co/ozlRL4SwhG

- שיין הנטלי (@ShaneHuntley) 4 ביוני 2020

תהליך ההפניה הכפויה של APT31

עוד ב-2017, APT31 ניהלה את פעולת ה-malvertising הגדולה ביותר. הקבוצה יצרה לא פחות מ-28 חברות פרסומות מזויפות. לפי Confiant, זירקוניום קנה כמיליארד צפיות במודעות והצליח להגיע ל-62% מכלל האתרים המוזרים על פרסומות. וקטור ההתקפה העיקרי APT31 בו נעשה שימוש היה ההפניה הכפויה. הפנייה מאולצת מתרחשת כאשר מישהו שגולש באתר מופנה לאתר אחר מבלי שהמשתמש מבצע פעולה כלשהי. האתר שבו המשתמש מגיע בסופו של דבר משמש בדרך כלל כחלק מהונאה או מוביל להדבקה בתוכנה זדונית.

צילום מסך של דף הבית של MyAdsBro - מקור: הבלוג Confiant.com

APT31 יצרה והשתמשה ב-Beginads, סוכנות פרסום מזויפת, כדי ליצור קשרים עם פלטפורמות פרסום. בהמשך הקו, זה הפך לדומיין שזירקוניום ישתמש בו כדי להפנות תנועה לכל הקמפיינים של כל הסוכנויות המזויפות שלהם. APT31 עבדו קשה כדי לוודא שיש להם קשרים בעלי מראה לגיטימי עם מספר פלטפורמות פרסום אמיתיות. גישה זו גם העניקה לתוכנית חוסן מסוים והפחיתה את הסיכוי לעורר חשדות. APT31 גם מכר תנועה לפלטפורמות שיווק שותפים. הסדר זה גרם לכך ש-APT31 לא היה צריך להפעיל את דפי הנחיתה בעצמם. פושעי הסייבר הלכו רחוק יותר ויצרו רשת שותפים שהם עצמם הפעילו. הרשת נקראה MyAdsBro. APT31 נהגו להריץ מסעות פרסום משלהם דרך MyAdsBro אבל אחרים יכלו גם לדחוף תנועה אל MyAdsBro תמורת עמלה.

צילום מסך של לוח האינטרנט של הלקוח - מקור: הבלוג Confiant.com

לאחר ההפניות מחדש, המשתמשים התפתו לאפשר את ההדבקה באמצעות כמה מהטקטיקות הפופולריות ביותר:

• חלונות קופצים מזויפים של עדכון Adobe Flash Player
• חלונות קופצים של אנטי וירוס מזויפים
• הונאות תמיכה טכנית
• הודעות סcareware שונות

APT31 עשה מאמצים רבים כשביססו את התוכנית שלהם וגרמו לה להיראות לגיטימי. לכל הסוכנויות המזויפות היו חומרי שיווק שונים, קצינים מזויפים עם פרופילים ברשתות החברתיות, ואפילו פוסטים במדיה האמורה עם תוכן ייחודי. רוב החברות בייצור המוני של זירקוניום הושקו באביב 2017. לא כל ה-28 שימשו מכיוון ש-8 מהן מעולם לא התחילו את נוכחותן במדיה החברתית ולא היו מעורבים בשום פעילות פרסומית . מאמציו של פושע הרשת היו מוצלחים בעליל. הסוכנויות המזויפות של APT31 הצליחו ליצור קשרים עסקיים ישירים עם 16 פלטפורמות פרסום אמיתיות.

רק חלק קטן מהתנועה הם נותבו למטען בפועל. על מנת להימנע מגילוי וניתוח, השתמש זירקוניום בשיטות התחמקות. APT31 השתמש בטכניקה הנקראת טביעת אצבע. זהו תהליך שבו פושעי הסייבר אוספים מידע על המערכות של הקורבנות הפוטנציאליים כדי למקד בצורה מדויקת יותר לחלק מסוים בקהל. המטרה של פושעי הסייבר בעת שימוש בטביעת אצבע היא להימנע מגילוי. לשם כך, הם ישתמשו ב-JavaScript בדפדפן כדי לנסות ולוודא אם הסקריפט פועל מול סורק אבטחה. אם יתגלו סימנים של סורק, המטען לא יימסר. קיים סיכון כרוך בטביעת אצבע. התסריט גלוי לכל מי שמחפש אותו וזה עשוי לעורר חשד, אך טביעת אצבע מאפשרת מספר גבוה יותר של פריסות של המטען.

APT31 ממנפת את הטקטיקות הערמומיות שלו

ישנן דרכים אחרות להתחמק מזיהוי שאינן כרוכות בהפעלת סקריפט בצד המשתמש. מנגנוני צד השרת יכולים להיות בטוחים יותר ליישום מכיוון שחוקר אבטחה לא יוכל לנתח אותם אלא אם הם מופעלים. גישה אחת כזו היא לבדוק אם ה-IP של המשתמש הוא IP של מרכז נתונים. סורקים משתמשים לעתים קרובות בכתובות IP של מרכזי נתונים וזיהוי IP כזה יהיה סימן ברור לא לפרוס את המטען.

למרות קנה המידה המרשים של פעולת ה-malvertising של APT31, חוקרי אבטחה עדיין מזהים שהמוקד העיקרי שלהם הוא גניבת קניין רוחני. ההיקף האמיתי של כל הפעולות של זירקוניום עדיין לא ידוע וכך גם הפוטנציאל שלהם להזיק.