APT31 / cirkonis

APT31 yra pažangių nuolatinių grėsmių grupė, daugiausia dėmesio skirianti intelektinės nuosavybės vagystėms ir netinkamam reklamavimui. Šią grupę įvairios saugumo organizacijos taip pat vadina cirkoniu, teismo Panda ir bronziniu vynmedžiu. Kaip ir daugumoje kitų APT grupių, yra įtarimų, kad APT31 gali būti valstybės remiamas ir šiuo atveju įtariama valstybė yra Kinija. 2020 m. vasarą „Google“ grėsmių analizės grupė pasiūlė, kad APT31 nukreipė Joe Bideno prezidento rinkimų kampaniją sukčiavimo el. laiškais.

Neseniai TAG pastebėjo, kad Kinijos APT grupė taikėsi į Bideno kampanijos personalą, o Iranas – prieš Trumpo kampanijos personalą sukčiaujant. Jokių kompromisų ženklų. Išsiuntėme naudotojams įspėjimą apie vyriausybės ataką ir nurodėme teisėsaugą. https://t.co/ozlRL4SwhG

— Shane'as Huntley (@ShaneHuntley) 2020 m. birželio 4 d

APT31 priverstinis peradresavimo procesas

2017 m. APT31 vykdė didžiausią piktnaudžiavimo operaciją. Grupė buvo sukūrusi ne mažiau kaip 28 netikrų reklamų kompanijas. Anot „Confiant“, „Zirconium“ įsigijo maždaug 1 milijardą skelbimų peržiūrų ir sugebėjo patekti į 62 % visų svetainių, iš kurių gaunama pajamų iš skelbimų. Pagrindinis naudojamas atakos vektorius APT31 buvo priverstinis peradresavimas. Priverstinis peradresavimas įvyksta, kai kas nors naršantis svetainėje yra peradresuojamas į kitą svetainę, vartotojui nesiimant jokių veiksmų. Svetainė, į kurią patenka vartotojas, dažniausiai naudojama kaip sukčiavimo dalis arba užkrečiama kenkėjiška programa.

„MyAdsBro“ pagrindinio puslapio ekrano kopija – šaltinis: Confiant.com tinklaraštis

APT31 sukūrė ir naudojo Beginads, netikrų skelbimų agentūrą, kad užmegztų ryšius su skelbimų platformomis. Vėliau tai tapo domenu, kurį cirkonis naudos nukreipdamas visų jų netikrų agentūrų kampanijų srautą. APT31 sunkiai dirbo, kad įsitikintų, jog jie turi teisėtai atrodančius ryšius su daugybe tikrų skelbimų platformų. Šis metodas taip pat suteikė schemai tam tikro atsparumo ir sumažino įtarimų tikimybę. APT31 taip pat perpardavė srautą filialų rinkodaros platformoms. Šis susitarimas reiškė, kad APT31 neturėjo savarankiškai valdyti nukreipimo puslapių. Kibernetiniai nusikaltėliai nuėjo toliau , sukurdami filialų tinklą, kurį valdė patys. Tinklas buvo vadinamas MyAdsBro. APT31 vykdydavo savo kampanijas per „MyAdsBro“, bet kiti taip pat galėjo nukreipti srautą į „MyAdsBro“ už komisinį mokestį.

Kliento žiniatinklio skydelio ekrano kopija – šaltinis: Confiant.com tinklaraštis

Įvykdžius peradresavimus, vartotojai buvo priversti įjungti infekciją taikant keletą populiariausių taktikų:

• Netikro „Adobe Flash Player“ naujinimo iššokantys langai
• Iššokantys netikri antivirusiniai langai
• Techninės pagalbos sukčiai
• Įvairūs baidymo pranešimai

APT31 labai pasistengė kurdamas savo schemą ir paversdamas ją teisėta. Visos netikros agentūros turėjo įvairios rinkodaros medžiagos, netikrų pareigūnų, turinčių profilius socialiniuose tinkluose, ir netgi unikalaus turinio įrašus minėtose žiniasklaidos priemonėse. Dauguma cirkonio masinės gamybos įmonių pradėjo veikti 2017 m. pavasarį. Ne visos iš 28 buvo naudojamos, nes 8 iš jų niekada nepradėjo savo veiklos socialinėje žiniasklaidoje ir neįsitraukė į jokią reklamos veiklą . Kibernetinio nusikaltėlio pastangos buvo akivaizdžiai sėkmingos. APT31 netikros agentūros sugebėjo užmegzti tiesioginius verslo ryšius su 16 realių skelbimų platformų.

Tik nedidelė srauto dalis buvo nukreipta į tikrą naudingą krovinį. Kad būtų išvengta aptikimo ir analizės, cirkonis naudojo vengimo metodus. APT31 naudojo techniką, vadinamą pirštų atspaudų ėmimu. Tai procesas, kurio metu kibernetiniai nusikaltėliai renka informaciją apie potencialių aukų sistemas, kad galėtų tiksliau nukreipti į tam tikrą auditorijos dalį. Kibernetinių nusikaltėlių tikslas, kai naudoja pirštų atspaudus, yra išvengti aptikimo. Tuo tikslu jie naudotų „JavaScript“ naršyklėje, kad patikrintų, ar scenarijus veikia su saugos skaitytuvu. Jei būtų aptikti skaitytuvo požymiai, naudingas krovinys nebūtų pristatytas. Yra rizika, susijusi su pirštų atspaudų ėmimu. Scenarijus matomas visiems jo ieškantiems žmonėms ir tai gali sukelti įtarimų, tačiau pirštų atspaudų ėmimas leidžia panaudoti didesnį naudingojo krovinio panaudojimo skaičių.

APT31 naudoja savo slaptą taktiką

Yra ir kitų būdų, kaip išvengti aptikimo, nereikalaujant scenarijaus vykdymo vartotojo pusėje. Serverio pusės mechanizmus gali būti saugiau taikyti, nes saugos tyrinėtojas negalės jų analizuoti, nebent jie suveiktų. Vienas iš tokių būdų yra patikrinti, ar vartotojo IP yra duomenų centro IP. Skaitytuvai dažnai naudoja duomenų centro IP adresus, o tokio IP aptikimas būtų aiškus ženklas, kad naudingoji apkrova nenaudojama.

Nepaisant įspūdingo APT31 piktnaudžiavimo masto, saugumo tyrinėtojai vis dar mano, kad pagrindinis jų dėmesys skiriamas intelektinės nuosavybės vagystėms. Tikroji visų cirkonio operacijų apimtis vis dar nežinoma, kaip ir jų galimybė pakenkti.