APT31/Zirconium

APT31 je napredna grupa upornih prijetnji s fokusom na krađi intelektualnog vlasništva i zlouporabi. Ovu skupinu također nazivaju cirkonij, prosudba pande i brončano vinova loza od strane različitih zaštitarskih organizacija. Kao i kod većine ostalih APT grupa, postoje sumnje da APT31 možda financira država, a u ovom slučaju sumnjiva država je Kina. U ljeto 2020. Googleova skupina za analizu prijetnji sugerirala je da APT31 cilja predsjedničku kampanju Joea Bidena s phishing mailovima.

Nedavno je TAG vidio kako kineska APT grupa cilja Biden-ove predizborne kampanje, a iranski APT ciljaju Trump-ovo osoblje prevarama. Ni traga kompromisu. Korisnicima smo poslali upozorenje na vladin napad i pozvali se na hranjene službe za provođenje zakona. https://t.co/ozlRL4SwhG

- Shane Huntley (@ShaneHuntley) 4. lipnja 2020

Proces prisilnog preusmjeravanja APT31

Još 2017. APT31 je izvodio najveću operaciju zlouporabe oglasa. Grupa je stvorila ni manje ni više nego 28 lažnih reklamnih tvrtki. Prema Confiant-u, cirkonij je kupio otprilike milijardu pregleda oglasa i uspio doći na 62% svih web mjesta unovčenih od oglasa. Glavni korišteni vektor napada APT31 bio je prisilno preusmjeravanje. Prisilno preusmjeravanje događa se kada je netko tko pregledava web mjesto preusmjeren na drugo web mjesto, a da korisnik nije poduzeo nikakve radnje. Web stranica na kojoj korisnik završi obično se koristi kao dio prijevare ili dovodi do zaraze zlonamjernim softverom.

Snimka zaslona početne stranice MyAdsBro - izvor: Confiant.com blog

APT31 je stvorio i koristio Beginads, lažnu oglasnu agenciju, za uspostavljanje odnosa s oglasnim platformama. Dolje je postalo domena koju će cirkonij koristiti za usmjeravanje prometa za sve kampanje svih njihovih lažnih agencija. APT31 je naporno radio kako bi osigurao da imaju legitimne odnose s brojnim pravim oglasnim platformama. Ovaj pristup također je shemi dao određenu otpornost i smanjio vjerojatnost da će izazvati sumnje. APT31 je također preprodao promet na pridruženim marketinškim platformama. Ovaj je dogovor značio da APT31 nije morao samostalno upravljati odredišnim stranicama. Kibernetski kriminalci otišli su dalje , stvorivši pridruženu mrežu kojom su i sami upravljali. Mreža se zvala MyAdsBro. APT31 je nekoć vodio vlastite kampanje putem MyAdsBro, ali drugi su također mogli gurati promet na MyAdsBro za proviziju.

Snimka zaslona korisničke web ploče - izvor: Confiant.com blog

Jednom kada su se preusmjeravanja dogodila, korisnici su primamljeni da omoguće zarazu kroz neke od najpopularnijih taktika:

• Lažni skočni prozori s ažuriranjem Adobe Flash Player-a
• Lažni antivirusni skočni prozori
• Prevare s tehničkom podrškom
• Razne poruke strašnog softvera

APT31 se jako potrudio uspostavljajući njihov plan i čineći ga legitimnim. Sve su lažne agencije imale razne marketinške materijale, lažne časnike s profilima na društvenim mrežama, pa čak i postove u spomenutim medijima s jedinstvenim sadržajem. Većina tvrtki za masovnu proizvodnju cirkonija pokrenute su u proljeće 2017. Nisu korištene sve od 28, jer njih 8 nikada nije započelo svoju prisutnost na društvenim mrežama i nije se uključilo u bilo kakve reklamne aktivnosti . Napori cyber kriminalca bili su očito uspješni. Lažne agencije APT31 uspjele su stvoriti izravne poslovne odnose sa 16 stvarnih oglasnih platformi.

Samo je mali dio prometa preusmjeren na stvarni teret. Kako bi izbjegao otkrivanje i analizu, cirkonij je koristio metode izbjegavanja. APT31 je koristio tehniku koja se naziva uzimanje otisaka prstiju. To je postupak u kojem cyber kriminalci prikupljaju informacije o sustavima potencijalnih žrtava kako bi preciznije ciljali određeni dio publike. Cilj cyber kriminalaca kada koriste otiske prstiju je izbjeći otkrivanje. U tu svrhu koristili bi JavaScript u pregledniku kako bi pokušali utvrditi radi li skripta protiv sigurnosnog skenera. Ako bi se otkrili znakovi skenera, korisni teret ne bi bio isporučen. Postoji rizik povezan s uzimanjem otisaka prstiju. Skripta je vidljiva svima koji je traže i to može izazvati sumnju, ali otisci prstiju omogućuju veći broj postavljanja korisnog tereta.

APT31 koristi svoje pritajene taktike

Postoje i drugi načini za izbjegavanje otkrivanja koji ne uključuju pokretanje skripte na strani korisnika. Mehanizmi na poslužiteljskoj strani mogu biti sigurniji za primjenu jer ih istraživač sigurnosti ne bi mogao analizirati ako se ne aktiviraju. Jedan od takvih pristupa je provjera je li IP korisnika IP podatkovnog centra. Skeneri često koriste IP adrese centra podataka, a otkrivanje takvih IP adresa bio bi jasan znak za neprimjenjivanje korisnog tereta.

Unatoč impresivnim razmjerima malvertiranja APT31, istraživači sigurnosti i dalje prepoznaju svoj glavni fokus kao krađu intelektualnog vlasništva. Stvarni opseg svih operacija cirkonija još uvijek nije poznat, kao ni njihov potencijal da naštete.