APT31/Zirkonium

APT31 ialah kumpulan Ancaman Berterusan Lanjutan dengan tumpuan pada kecurian harta intelek dan penyelewengan. Kumpulan ini juga dipanggil Zirkonium, Judgment Panda, dan Bronze Vinewood oleh organisasi keselamatan yang berbeza. Seperti kebanyakan kumpulan APT yang lain, terdapat syak wasangka bahawa APT31 mungkin ditaja oleh kerajaan dan dalam kes ini negeri yang disyaki adalah China. Pada musim panas 2020, Kumpulan Analisis Ancaman Google mencadangkan bahawa APT31 menyasarkan kempen presiden Joe Biden dengan e-mel pancingan data.

Baru-baru ini TAG melihat kumpulan APT China menyasarkan kakitangan kempen Biden & APT Iran menyasarkan kakitangan kempen Trump dengan pancingan data. Tiada tanda kompromi. Kami menghantar amaran serangan kerajaan kepada pengguna dan kami merujuk kepada penguatkuasaan undang-undang fed. https://t.co/ozlRL4SwhG

— Shane Huntley (@ShaneHuntley) 4 Jun 2020

Proses Ubah Hala Paksa APT31

Pada tahun 2017, APT31 menjalankan operasi malvertising terbesar. Kumpulan itu telah mencipta tidak kurang daripada 28 syarikat pengiklanan palsu. Menurut Confiant, Zirconium telah membeli kira-kira 1 bilion paparan iklan dan telah berjaya mendapatkan 62% daripada semua tapak web yang diwangkan iklan. Vektor serangan utama APT31 yang digunakan ialah ubah hala paksa. Ubah hala paksa berlaku apabila seseorang yang menyemak imbas tapak web diubah hala ke tapak web lain tanpa pengguna mengambil sebarang tindakan. Tapak web yang dituju oleh pengguna biasanya digunakan sebagai sebahagian daripada penipuan atau membawa kepada jangkitan perisian hasad.

Tangkapan skrin laman utama MyAdsBro - sumber: blog Confiant.com

APT31 mencipta dan menggunakan Beginads, sebuah agensi iklan palsu, untuk mewujudkan hubungan dengan platform iklan. Akhirnya, ia menjadi domain yang akan digunakan Zirkonium untuk mengarahkan trafik bagi semua kempen semua agensi palsu mereka. APT31 bekerja keras untuk memastikan mereka mempunyai hubungan yang kelihatan sah dengan beberapa platform iklan sebenar. Pendekatan ini juga memberikan skim ini sedikit daya tahan dan mengurangkan kemungkinan menimbulkan syak wasangka. APT31 juga menjual semula trafik ke platform pemasaran gabungan. Susunan ini bermakna APT31 tidak perlu mengendalikan halaman pendaratan sendiri. Penjenayah siber pergi lebih jauh , mewujudkan rangkaian gabungan yang mereka sendiri kendalikan. Rangkaian itu dipanggil MyAdsBro. APT31 pernah menjalankan kempen mereka sendiri melalui MyAdsBro tetapi yang lain juga boleh menolak trafik ke MyAdsBro untuk mendapatkan komisen.

Tangkapan skrin panel web pelanggan - sumber: blog Confiant.com

Setelah ubah hala berlaku, pengguna tertarik untuk mendayakan jangkitan melalui beberapa taktik yang paling popular:

• Tetingkap timbul kemas kini Adobe Flash Player palsu
• Pop timbul antivirus palsu
• Penipuan sokongan teknikal
• Pelbagai mesej scareware

APT31 telah berusaha keras apabila mewujudkan skim mereka dan menjadikannya kelihatan sah. Semua agensi palsu mempunyai pelbagai bahan pemasaran, pegawai palsu dengan profil dalam media sosial, dan juga siaran dalam media tersebut dengan kandungan unik. Kebanyakan syarikat keluaran besar-besaran Zirconium yang dilancarkan pada Musim Bunga 2017. Tidak semua daripada 28 digunakan kerana 8 daripadanya tidak pernah memulakan kehadiran media sosial mereka dan tidak terlibat dalam sebarang aktiviti pengiklanan . Usaha penjenayah siber itu jelas berjaya. Agensi palsu APT31 berjaya mewujudkan hubungan perniagaan secara langsung dengan 16 platform iklan sebenar.

Hanya sebahagian kecil daripada trafik yang mereka dapat diubah hala ke muatan sebenar. Untuk mengelakkan pengesanan dan analisis, Zirkonium menggunakan kaedah pengelakan. APT31 menggunakan teknik yang dipanggil cap jari. Ia adalah satu proses di mana penjenayah siber mengumpul maklumat tentang sistem mangsa yang berpotensi untuk menyasarkan bahagian tertentu penonton dengan lebih tepat. Matlamat penjenayah siber apabila menggunakan cap jari adalah untuk mengelakkan pengesanan. Untuk tujuan itu, mereka akan menggunakan JavaScript dalam penyemak imbas untuk mencuba dan memastikan sama ada skrip itu dijalankan terhadap pengimbas keselamatan. Jika tanda-tanda pengimbas dikesan, muatan tidak akan dihantar. Terdapat risiko yang terlibat dengan cap jari. Skrip itu kelihatan kepada sesiapa yang mencarinya dan itu mungkin menimbulkan syak wasangka, tetapi cap jari membolehkan jumlah penggunaan muatan yang lebih tinggi.

APT31 Memanfaatkan Taktik Liciknya

Terdapat cara lain untuk mengelak pengesanan yang tidak melibatkan menjalankan skrip di sisi pengguna. Mekanisme sisi pelayan boleh menjadi lebih selamat untuk digunakan kerana penyelidik keselamatan tidak akan dapat menganalisisnya melainkan ia mencetuskan. Satu pendekatan sedemikian adalah untuk menyemak sama ada IP pengguna ialah IP pusat data. Pengimbas sering menggunakan IP pusat data dan mengesan IP sedemikian akan menjadi tanda jelas untuk tidak menggunakan muatan.

Walaupun skala operasi malvertising APT31 yang mengagumkan, penyelidik keselamatan masih mengenal pasti fokus utama mereka adalah kecurian harta intelek. Skop sebenar semua operasi Zirkonium masih tidak diketahui kerana potensinya untuk membahayakan.