APT31/Zirkonium

APT31 er en Advanced Persistent Threat-gruppe med fokus på tyveri av intellektuell eiendom og malvertising. Denne gruppen kalles også Zirconium, Judgment Panda og Bronze Vinewood av forskjellige sikkerhetsorganisasjoner. Som med de fleste andre APT-grupper, er det mistanker om at APT31 kan være statsstøttet, og i dette tilfellet er den mistenkte staten Kina. Sommeren 2020 foreslo Google Threat Analysis Group at APT31 målrettet Joe Bidens presidentkampanje med phishing-e-poster.

Nylig så TAG Kina APT-gruppe rettet mot Biden-kampanjeansatte og Iran APT rettet mot Trump-kampanjeansatte med phishing. Ingen tegn til kompromiss. Vi sendte brukerne vår regjeringsangrepsadvarsel, og vi henviste til politimyndighetene. https://t.co/ozlRL4SwhG

— Shane Huntley (@ShaneHuntley) 4. juni 2020

APT31s tvungen omdirigeringsprosess

Tilbake i 2017 kjørte APT31 den største malvertising-operasjonen. Gruppen hadde opprettet ikke mindre enn 28 falske reklameselskaper. I følge Confiant hadde Zirconium kjøpt omtrent 1 milliard annonsevisninger og hadde klart å komme inn på 62 % av alle nettsteder som tjener penger på annonser. Hovedangrepsvektoren APT31 som ble brukt var tvungen omdirigering. En tvungen omdirigering oppstår når noen som surfer på et nettsted blir omdirigert til et annet nettsted uten at brukeren foretar seg noe. Nettstedet brukeren havner på blir ofte brukt som en del av en svindel eller fører til en skadelig programvareinfeksjon.

Skjermbilde av MyAdsBro-hjemmesiden - kilde: Confiant.com-bloggen

APT31 opprettet og brukte Beginads, et falskt reklamebyrå, for å etablere relasjoner med annonseplattformer. Nedover linjen ble det domenet Zirconium ville bruke til å dirigere trafikk til alle kampanjene til alle deres falske byråer. APT31 jobbet hardt for å sikre at de hadde et lovlig utseende forhold til en rekke ekte annonseplattformer. Denne tilnærmingen ga også ordningen en viss motstandskraft og gjorde det mindre sannsynlig at det reiste mistanker. APT31 videresolgte også trafikk til tilknyttede markedsføringsplattformer. Denne ordningen gjorde at APT31 ikke trengte å betjene landingssidene på egen hånd. De nettkriminelle gikk videre og opprettet et tilknyttet nettverk som de selv drev. Nettverket ble kalt MyAdsBro. APT31 pleide å kjøre sine egne kampanjer gjennom MyAdsBro, men andre kunne også sende trafikk til MyAdsBro for en provisjon.

Skjermbilde av kundenettpanel - kilde: Confiant.com-bloggen

Når omdirigeringene fant sted, ble brukerne lokket til å aktivere infeksjonen gjennom noen av de mest populære taktikkene:

• Falske popup-vinduer for Adobe Flash Player-oppdatering
• Falske antivirus popup-vinduer
• Svindel med teknisk støtte
• Ulike scareware-meldinger

APT31 gikk langt når de etablerte ordningen deres og fikk den til å se legitim ut. Alle de falske byråene hadde ulike markedsføringsmateriell, falske offiserer med profiler i sosiale medier, og til og med innlegg i nevnte medier med unikt innhold. De fleste av Zirconiums masseproduserte selskaper ble lansert våren 2017. Ikke alle av de 28 ble brukt da 8 av dem aldri startet sin tilstedeværelse på sosiale medier og ikke ble involvert i noen reklameaktiviteter . Nettkriminelles innsats var tydelig vellykket. APT31s falske byråer klarte å skape direkte forretningsrelasjoner med 16 ekte annonseplattformer.

Bare en liten del av trafikken de fikk omdirigert til en faktisk nyttelast. For å unngå påvisning og analyse brukte Zirkonium unnvikelsesmetoder. APT31 brukte en teknikk kalt fingeravtrykk. Det er en prosess hvor nettkriminelle samler inn informasjon om systemene til de potensielle ofrene for å mer presist målrette mot en bestemt del av publikum. Målet til nettkriminelle ved bruk av fingeravtrykk er å unngå oppdagelse. Til det formålet ville de bruke JavaScript i nettleseren for å prøve å finne ut om skriptet kjørte mot en sikkerhetsskanner. Hvis det ble oppdaget tegn på en skanner, ville ikke nyttelasten bli levert. Det er en risiko forbundet med fingeravtrykk. Skriptet er synlig for alle som leter etter det, og det kan vekke mistanke, men fingeravtrykk gir mulighet for et høyere antall distribusjoner av nyttelasten.

APT31 utnytter sin lure taktikk

Det finnes andre måter å unngå oppdagelse på som ikke innebærer å kjøre et skript på brukerens side. Mekanismer på serversiden kan være tryggere å bruke siden en sikkerhetsforsker ikke ville være i stand til å analysere dem med mindre de utløses. En slik tilnærming er å sjekke om brukerens IP er en datasenter-IP. Skannere bruker ofte datasenter-IP-er, og å oppdage slik IP vil være et tydelig tegn på ikke å distribuere nyttelasten.

Til tross for det imponerende omfanget av APT31s malvertising-operasjon, identifiserer sikkerhetsforskere fortsatt at hovedfokuset deres er tyveri av intellektuell eiendom. Det virkelige omfanget av alle Zirconiums operasjoner er fortsatt ukjent, og det samme er deres potensial til å gjøre skade.