APT31/cirkonijs

APT31 ir Advanced Persistent Threat grupa, kas koncentrējas uz intelektuālā īpašuma zādzībām un ļaunprātīgu izmantošanu. Dažādas drošības organizācijas šo grupu sauc arī par cirkoniju, spriedumu pandu un bronzas vīnogulāju. Tāpat kā lielākajā daļā citu APT grupu, pastāv aizdomas, ka APT31 varētu būt valsts sponsorēts, un šajā gadījumā aizdomīgā valsts ir Ķīna. 2020. gada vasarā Google draudu analīzes grupa ierosināja, ka APT31 mērķēja uz Džo Baidena prezidenta kampaņu ar pikšķerēšanas e-pastiem.

Nesen TAG redzēja, ka Ķīnas APT grupa mērķēja uz Baidena kampaņas darbiniekiem, bet Irāna APT — pret Trampa kampaņas darbiniekiem, izmantojot pikšķerēšanu. Nekādas kompromisa pazīmes. Mēs nosūtījām lietotājiem brīdinājumu par valdības uzbrukumu un atsaucāmies uz padotajām tiesībaizsardzības iestādēm. https://t.co/ozlRL4SwhG

— Šeins Hantlijs (@ShaneHuntley) 2020. gada 4. jūnijs

APT31 piespiedu novirzīšanas process

Vēl 2017. gadā APT31 veica lielāko ļaunprātīgas izmantošanas operāciju. Grupa bija izveidojusi ne mazāk kā 28 viltus reklāmu kompānijas. Saskaņā ar Confiant teikto, Cirkonijs bija iegādājies aptuveni 1 miljardu reklāmu skatījumu un tam bija izdevies nokļūt 62% no visām reklāmām monetizēto vietņu. Galvenais izmantotais uzbrukuma vektors APT31 bija piespiedu novirzīšana. Piespiedu novirzīšana notiek, kad kāds, kas pārlūko vietni, tiek novirzīts uz citu vietni, lietotājam neveicot nekādas darbības. Vietne, uz kuru lietotājs nonāk, parasti tiek izmantota kā daļa no krāpniecības vai izraisa ļaunprātīgas programmatūras infekciju.

MyAdsBro sākumlapas ekrānuzņēmums — avots: Confiant.com emuārs

APT31 izveidoja un izmantoja viltus reklāmu aģentūru Beginads, lai izveidotu attiecības ar reklāmu platformām. Pēc tam tas kļuva par domēnu, ko Cirkonijs izmantos, lai novirzītu trafiku visām viltotu aģentūru kampaņām. APT31 smagi strādāja, lai pārliecinātos, ka viņiem ir likumīgas attiecības ar vairākām reālām reklāmu platformām. Šī pieeja arī piešķīra shēmai zināmu noturību un mazināja iespēju radīt aizdomas. APT31 arī pārdeva trafiku tālāk saistītajām mārketinga platformām. Šis izkārtojums nozīmēja, ka APT31 nebija pašam jāvada galvenās lapas. Kibernoziedznieki gāja tālāk , izveidojot saistīto tīklu, ko viņi paši pārvaldīja. Tīklu sauca MyAdsBro. APT31 savulaik vadīja savas kampaņas, izmantojot MyAdsBro, bet citi varēja arī novirzīt trafiku uz MyAdsBro par komisijas maksu.

Klienta tīmekļa paneļa ekrānuzņēmums — avots: Confiant.com emuārs

Kad tika veikta novirzīšana, lietotāji tika pamudināti iespējot infekciju, izmantojot dažas no populārākajām taktikām:

• Viltus Adobe Flash Player atjaunināšanas uznirstošie logi
• Viltus pretvīrusu uznirstošie logi
• Tehniskā atbalsta krāpniecība
• Dažādi biedēšanas ziņojumi

APT31 veica lielu darbu, izveidojot savu shēmu un padarot to likumīgu. Visām viltotajām aģentūrām bija dažādi mārketinga materiāli, viltoti darbinieki ar profiliem sociālajos medijos un pat ziņas minētajos medijos ar unikālu saturu. Lielākā daļa cirkonija masveidā ražoto uzņēmumu sāka darbību 2017. gada pavasarī. Ne visi no 28 tika izmantoti, jo 8 no tiem nekad nav sākuši savu darbību sociālajos medijos un neiesaistījās nevienā reklāmas darbībā . Kibernoziedznieka centieni bija nepārprotami veiksmīgi. APT31 viltotajām aģentūrām izdevās izveidot tiešas biznesa attiecības ar 16 īstām reklāmu platformām.

Tikai neliela daļa no trafika tika novirzīta uz faktisko lietderīgo slodzi. Lai izvairītos no atklāšanas un analīzes, cirkonijs izmantoja izvairīšanās metodes. APT31 izmantoja paņēmienu, ko sauc par pirkstu nospiedumu noņemšanu. Tas ir process, kurā kibernoziedznieki vāc informāciju par potenciālo upuru sistēmām, lai precīzāk mērķētu uz noteiktu auditorijas daļu. Kibernoziedznieku mērķis, izmantojot pirkstu nospiedumus, ir izvairīties no atklāšanas. Šim nolūkam viņi pārlūkprogrammā izmantos JavaScript, lai mēģinātu noskaidrot, vai skripts darbojas pret drošības skeneri. Ja tiktu atklātas skenera pazīmes, krava netiktu piegādāta. Ar pirkstu nospiedumu noņemšanu pastāv risks. Skripts ir redzams ikvienam, kas to meklē, un tas var radīt aizdomas, taču pirkstu nospiedumu noņemšana ļauj veikt lielāku lietderīgās slodzes izvietošanu.

APT31 izmanto savu viltīgo taktiku

Ir arī citi veidi, kā izvairīties no atklāšanas, kas neietver skripta palaišanu lietotāja pusē. Servera puses mehānismus var izmantot drošāk, jo drošības pētnieks nevarēs tos analizēt, ja vien tie neaktivizējas. Viena šāda pieeja ir pārbaudīt, vai lietotāja IP ir datu centra IP. Skeneri bieži izmanto datu centra IP, un šāda IP noteikšana būtu skaidra zīme, ka lietderīgā slodze netiek izvietota.

Neraugoties uz iespaidīgo APT31 ļaunprātīgās reklāmas darbības apmēru, drošības pētnieki joprojām nosaka, ka viņu galvenā uzmanība ir vērsta uz intelektuālā īpašuma zādzībām. Visu cirkonija darbību patiesais apjoms joprojām nav zināms, tāpat kā to potenciāls nodarīt kaitējumu.