APT31/Zirconium

APT31 è un gruppo Advanced Persistent Threat con particolare attenzione al furto di proprietà intellettuale e al malvertising. Questo gruppo è anche chiamato Zirconium, Judgment Panda e Bronze Vinewood da diverse organizzazioni di sicurezza. Come con la maggior parte degli altri gruppi APT, ci sono sospetti che APT31 possa essere sponsorizzato dallo stato e in questo caso lo stato sospetto è la Cina. Nell'estate del 2020 il gruppo di analisi delle minacce di Google ha suggerito che APT31 stava prendendo di mira la campagna presidenziale di Joe Biden con e-mail di phishing.

Recentemente TAG ha visto il gruppo APT cinese prendere di mira lo staff della campagna Biden e l'APT iraniano prendere di mira lo staff della campagna Trump con il phishing. Nessun segno di compromesso. Abbiamo inviato agli utenti il nostro avviso di attacco del governo e abbiamo fatto riferimento alle forze dell'ordine. https://t.co/ozlRL4SwhG

- Shane Huntley (@ShaneHuntley) 4 giugno 2020

Processo di reindirizzamento forzato di APT31

Nel 2017, APT31 gestiva la più grande operazione di malvertising. Il gruppo aveva creato non meno di 28 società pubblicitarie false. Secondo Confiant, Zirconium aveva acquistato circa 1 miliardo di visualizzazioni di annunci ed era riuscito a raggiungere il 62% di tutti i siti Web monetizzati. Il principale vettore di attacco APT31 utilizzato è stato il reindirizzamento forzato. Un reindirizzamento forzato si verifica quando qualcuno che naviga in un sito Web viene reindirizzato a un altro sito Web senza che l'utente intraprenda alcuna azione. Il sito Web su cui l'utente finisce è comunemente usato come parte di una truffa o porta a un'infezione da malware.

Screenshot della home page di MyAdsBro - fonte: blog Confiant.com

APT31 ha creato e utilizzato Beginads, una falsa agenzia pubblicitaria, per stabilire relazioni con le piattaforme pubblicitarie. In seguito, è diventato il dominio che Zirconium avrebbe utilizzato per dirigere il traffico per tutte le campagne di tutte le loro false agenzie. APT31 ha lavorato duramente per assicurarsi che avessero rapporti legittimi con un numero di piattaforme pubblicitarie reali. Questo approccio ha inoltre conferito al programma una certa resilienza e ha reso meno probabile che suscitasse sospetti. APT31 ha anche rivenduto il traffico a piattaforme di marketing di affiliazione. Questa disposizione significava che APT31 non doveva gestire le pagine di destinazione da solo. I criminali informatici sono andati oltre , creando una rete di affiliazione che gestivano loro stessi. La rete si chiamava MyAdsBro. APT31 gestiva le proprie campagne tramite MyAdsBro, ma altri potevano anche spingere il traffico a MyAdsBro per una commissione.

Screenshot del pannello web del cliente - fonte: blog Confiant.com

Una volta effettuati i reindirizzamenti, gli utenti sono stati invogliati ad abilitare l'infezione attraverso alcune delle tattiche più popolari:

• Falso pop-up di aggiornamento di Adobe Flash Player
• Finti popup antivirus
• Truffe del supporto tecnico
• Vari messaggi di scareware

APT31 ha fatto di tutto per stabilire il proprio schema e farlo sembrare legittimo. Tutte le false agenzie avevano vari materiali di marketing, falsi ufficiali con profili nei social media e persino post su detti media con contenuti unici. La maggior parte delle aziende di produzione di massa di Zirconium è stata lanciata nella primavera del 2017. Non tutte le 28 sono state utilizzate poiché 8 di loro non hanno mai iniziato la loro presenza sui social media e non sono state coinvolte in alcuna attività pubblicitaria . Gli sforzi del cybercriminale hanno avuto chiaramente successo. Le false agenzie di APT31 sono riuscite a creare rapporti commerciali diretti con 16 piattaforme pubblicitarie reali.

Solo una piccola parte del traffico è stata reindirizzata a un carico utile effettivo. Per evitare il rilevamento e l'analisi, lo zirconio ha utilizzato metodi di evasione. APT31 ha utilizzato una tecnica chiamata fingerprinting. È un processo in cui i criminali informatici raccolgono informazioni sui sistemi delle potenziali vittime per mirare in modo più preciso a una determinata parte del pubblico. L'obiettivo dei criminali informatici quando utilizzano le impronte digitali è evitare il rilevamento. A tale scopo, utilizzerebbero JavaScript nel browser per cercare di accertare se lo script fosse in esecuzione su uno scanner di sicurezza. Se venissero rilevati segni di uno scanner, il carico utile non verrebbe consegnato. Esiste un rischio associato al rilevamento delle impronte digitali. Lo script è visibile a chiunque lo cerchi e questo può destare sospetti, ma il fingerprinting consente un numero maggiore di implementazioni del payload.

APT31 fa leva sulle sue tattiche subdole

Esistono altri modi per eludere il rilevamento che non comportano l'esecuzione di uno script dal lato dell'utente. I meccanismi lato server possono essere più sicuri da applicare poiché un ricercatore di sicurezza non sarebbe in grado di analizzarli a meno che non si attivino. Uno di questi approcci consiste nel verificare se l'IP dell'utente è un IP del datacenter. Gli scanner utilizzano spesso gli IP del datacenter e il rilevamento di tale IP sarebbe un chiaro segno per non distribuire il payload.

Nonostante l'impressionante portata dell'operazione di malvertising di APT31, i ricercatori di sicurezza identificano ancora il loro obiettivo principale nel furto di proprietà intellettuale. La reale portata di tutte le operazioni dello zirconio è ancora sconosciuta, così come il loro potenziale di danneggiare.