Bismuts APT

Ir novērots, ka ilgstoši darbojas Advanced Persistent Threat (APT) grupa ar nosaukumu Bismuth, kas nesen mēģina slēpt savas darbības, izvietojot kriptoraktuvju lietderīgo slodzi saviem mērķiem. Infosec vidē kriptoraktu ieguves darbības tiek uzskatītas par nekritiskām problēmām, un parasti tās izraisa vājāku reakciju, salīdzinot ar kiberspiegošanas gadījumiem vai izpirkuma programmatūras izvietošanu.

Bismuta galvenā specializācija ir bijusi datu iegūšanas un spiegošanas uzbrukumu kampaņu vadīšana. Grupa darbojas vismaz kopš 2012. gada, un šajā periodā tās rīki, paņēmieni un procedūras ir nepārtraukti attīstījušās gan sarežģītības, gan diapazona ziņā. Grupas arsenālu veido pēc pasūtījuma izgatavota ļaunprogrammatūra, kas apvienota ar atvērtā pirmkoda rīkiem. Viņu upuri nāk no dažādām rūpniecības nozarēm, tostarp starptautiskām organizācijām, uzņēmumiem, kas piedāvā finanšu pakalpojumus, valsts struktūrām un aģentūrām, kā arī izglītības iestādēm. Tomēr viņu iecienītākie mērķi vienmēr ir bijuši cilvēktiesību un pilsoņu tiesību organizācijas.

Bismuts izmanto kriptogrāfijas ieguvi kā mānekli

Savā jaunākajā kampaņā grupa apdraudēja privātos un valdības mērķus Francijā un Vjetnamā. Operācija tika attiecināta uz Bismuth, jo tika izvietots īpašs ļaunprātīgas programmatūras drauds KerrDown, kas tika atklāts tikai kā daļa no tā uzbrukumiem.

Lai nostiprinātu savu mērķi, Bismuts izstrādāja ļoti detalizētus pikšķerēšanas e-pasta ziņojumus, kas bija adresēti konkrētiem organizācijas darbiniekiem. Pirms bojātu e-pastu palaišanas hakeri savāca dažādus datus par atlasītajām personām. Dažos gadījumos hakeri pat izveidoja saziņu ar saviem upuriem, lai veidotu uzticību un radītu daudz ticamāku stāstu. Sākotnējā uzbrukuma stadijā Bismuth izmantoja paņēmienu, kas pazīstams kā DLL sānu ielāde, kas ļauj hakeriem izmantot vecākas lietojumprogrammas un piespiest tos ielādēt bojātu DLL, kas krāpj likumīgu failu. Lietojumprogrammas, ko hakeri ir ļaunprātīgi izmantojuši, ir Microsoft Word 2007, McAffee skeneris, Microsoft Defender un Sysinternals DebugView rīks.

Lai slēptu savus patiesos nodomus, Bismuta hakeri veica Monero kriptoraktuves lietderīgo slodzi apdraudētajās iekārtās. Lai gan kalnrači nespēja nopelnīt daudz naudas, viņi kalpoja savam mērķim, novēršot uzmanību no grupas datu vākšanas darbībām.

Bismuts pēta tā mērķus

Iekļūstot izvēlētajā iekārtā, Bismuta hakeri velta laiku, pirms uzbrūk. Tiek ziņots, ka grupa aptuveni mēnesi slēpās apdraudētajā tīklā, meklējot un identificējot visnoderīgākos datorus, uz kuriem izplatīties. Šajā periodā draudu veicējs vāca dažādus datus, tostarp domēna un vietējā administratora informāciju, informāciju par ierīci un lietotāju privilēģijas, kas pieejamas vietējās sistēmās.

Darbība apdraudētajā tīklā tika veikta vairākos posmos, sākot ar mēģinājumiem ievākt akreditācijas datus no Security Account Manager (SAM) datu bāzēm, kā arī informāciju par domēna grupu un lietotāju. Pēc sākotnējās datu vākšanas draudu dalībnieks mēģina izmantot Windows pārvaldības instrumentu (WMI), lai izveidotu savienojumu ar papildu ierīcēm. Procesa pēdējā posmā hakeri instalē CobaltStrike bāksignālu, izmantojot DLL sānu ielādi.