APT31/cirkónium

Az APT31 egy továbbfejlesztett állandó fenyegetések csoportja, amelynek középpontjában a szellemi tulajdon ellopása és rosszindulatú reklámozása áll. Ezt a csoportot a különböző biztonsági szervezetek cirkóniumnak, Ítélet Pandának és Bronze Vinewoodnak is nevezik. A legtöbb más APT-csoporthoz hasonlóan fennáll a gyanú, hogy az APT31 államilag támogatott, és ebben az esetben a feltételezett állam Kína. 2020 nyarán a Google Threat Analysis Group azt javasolta, hogy az APT31 adathalász e-mailekkel Joe Biden elnökválasztási kampányát célozza meg.

A közelmúltban a TAG azt látta, hogy a kínai APT csoport Biden kampánystábját, az iráni APT pedig Trump kampánystábját célozta meg adathalászattal. Semmi jele a kompromisszumnak. Elküldtük a felhasználóknak a kormányzati támadásra vonatkozó figyelmeztetésünket, és hivatkoztunk a fedetlen bűnüldöző szervekre. https://t.co/ozlRL4SwhG

– Shane Huntley (@ShaneHuntley) 2020. június 4

Az APT31 kényszerített átirányítási folyamata

2017-ben az APT31 végezte a legnagyobb rosszindulatú hirdetési műveletet. A csoport nem kevesebb, mint 28 hamis reklámcéget hozott létre. A Confiant szerint a Zirconium hozzávetőleg 1 milliárd hirdetésmegtekintést vásárolt, és a hirdetésekből bevételt hozó webhelyek 62%-ára sikerült eljutnia. Az APT31 fő támadási vektora a kényszerített átirányítás volt. Kényszerű átirányításról akkor beszélünk, ha valaki egy webhelyet böngészve átirányításra kerül egy másik webhelyre anélkül, hogy a felhasználó bármit is tenne. A webhelyet, amelyre a felhasználó felkeres, általában egy átverés részeként használják, vagy rosszindulatú programfertőzéshez vezet.

MyAdsBro kezdőlap képernyőképe – forrás: Confiant.com blog

Az APT31 létrehozta és felhasználta a Beginadst, egy hamis reklámügynökséget, hogy kapcsolatokat létesítsen a hirdetési platformokkal. A sor végén ez lett az a domain, amelyet a Zirconium az összes hamis ügynökségük kampányainak forgalmának irányítására használ. Az APT31 keményen dolgozott azért, hogy megbizonyosodjon arról, hogy jogos kapcsolataik vannak számos valódi hirdetési platformmal. Ez a megközelítés némi rugalmasságot is adott a rendszernek, és kisebb valószínűséggel keltett gyanút. Az APT31 forgalmat is értékesített a kapcsolt marketingplatformoknak. Ez az elrendezés azt jelentette, hogy az APT31-nek nem kellett egyedül működtetnie a céloldalakat. A kiberbûnözõk tovább mentek , létrehozva egy leányvállalati hálózatot, amelyet maguk üzemeltettek. A hálózat neve MyAdsBro. Az APT31 korábban saját kampányait futtatta a MyAdsBro-n keresztül, de mások jutalék fejében a forgalmat a MyAdsBro-ra is irányíthatták.

Az ügyfél webpaneljének képernyőképe - forrás: Confiant.com blog

Miután az átirányítás megtörtént, a felhasználókat a legnépszerűbb taktika segítségével csábították, hogy engedélyezzék a fertőzést:

• Hamis Adobe Flash Player frissítési előugró ablakok
• Hamis víruskereső előugró ablakok
• Technikai támogatási csalások
• Különféle ijesztő üzenetek

Az APT31 mindent megtett, amikor létrehozta rendszerét, és legitimnek tűnt. Valamennyi hamis ügynökség rendelkezett különféle marketinganyagokkal, közösségi médiában profillal rendelkező hamis tisztekkel, sőt az említett médiában egyedi tartalmú bejegyzésekkel is. A cirkónium tömeggyártású vállalatainak többsége 2017 tavaszán indult. A 28 vállalat közül nem mindegyiket használták, mivel közülük 8 soha nem kezdte meg közösségi média jelenlétét, és nem vett részt semmilyen hirdetési tevékenységben . A kiberbűnöző erőfeszítései egyértelműen sikeresek voltak. Az APT31 hamis ügynökségeinek sikerült közvetlen üzleti kapcsolatot kialakítaniuk 16 valódi hirdetési platformmal.

A forgalomnak csak egy kis részét irányították át tényleges rakományra. Az észlelés és elemzés elkerülése érdekében a cirkónium kikerülési módszereket alkalmazott. Az APT31 az ujjlenyomatnak nevezett technikát alkalmazta. Ez egy olyan folyamat, amelyben a kiberbűnözők információkat gyűjtenek a potenciális áldozatok rendszereiről, hogy pontosabban megcélozzák a közönség egy bizonyos részét. A kiberbűnözők célja az ujjlenyomat-vétel során az észlelés elkerülése. Ebből a célból JavaScriptet használnak a böngészőben, hogy megbizonyosodjanak arról, hogy a szkript fut-e egy biztonsági szkenner ellen. Ha szkennerre utaló jeleket észlelnek, a rakományt nem szállítják ki. Az ujjlenyomatvétel kockázattal jár. A szkript bárki számára látható, aki keresi, és ez gyanút kelthet, de az ujjlenyomat-felvétel lehetővé teszi a rakomány nagyobb számú telepítését.

Az APT31 kihasználja alattomos taktikáját

Vannak más módszerek is az észlelés elkerülésére, amelyekhez nem kell parancsfájlt futtatni a felhasználó oldalán. A szerveroldali mechanizmusok alkalmazása biztonságosabb lehet, mivel a biztonsági kutató csak akkor tudja elemezni őket, ha aktiválódnak. Az egyik ilyen megközelítés annak ellenőrzése, hogy a felhasználó IP-je adatközpont-e. A szkennerek gyakran használnak adatközponti IP-címeket, és az ilyen IP-címek észlelése egyértelmű jele annak, hogy nem telepítik a hasznos terhet.

Az APT31 rosszindulatú hirdetési tevékenységének lenyűgöző léptéke ellenére a biztonsági kutatók továbbra is a szellemi tulajdon eltulajdonítására helyezik a hangsúlyt. A cirkónium összes műveletének valódi hatóköre még mindig ismeretlen, ahogyan az sem, hogy kárt okozhatnak.