APT31/Zirconium

APT31 to grupa Advanced Persistent Threat zajmująca się kradzieżą własności intelektualnej i złośliwymi reklamami. Grupa ta jest również nazywana przez różne organizacje bezpieczeństwa cyrkonem, sądową pandą i brązowym winem. Podobnie jak w przypadku większości innych grup APT, istnieją podejrzenia, że APT31 może być sponsorowana przez państwo iw tym przypadku podejrzanym państwem są Chiny. Latem 2020 roku Google Threat Analysis Group zasugerowała, że APT31 celował w kampanię prezydencką Joe Bidena za pomocą e-maili phishingowych.

Niedawno TAG widział, jak chińska grupa APT atakuje personel kampanii Biden, a Iran APT atakuje personel kampanii Trumpa za pomocą phishingu. Żadnych oznak kompromisu. Wysłaliśmy użytkownikom nasze ostrzeżenie przed atakiem rządu i odnieśliśmy się do organów ścigania. https://t.co/ozlRL4SwhG

- Shane Huntley (@ShaneHuntley) 4 czerwca 2020 r

Proces wymuszonego przekierowania APT31

W 2017 roku APT31 prowadził największą operację złośliwej reklamy. Grupa stworzyła nie mniej niż 28 fałszywych firm reklamowych. Według Confiant, firma Zirconium kupiła około 1 miliarda wyświetleń reklam i zdołała dotrzeć do 62% wszystkich stron internetowych, na których zarabia się na reklamach. Głównym używanym wektorem ataku APT31 było wymuszone przekierowanie. Wymuszone przekierowanie ma miejsce, gdy ktoś przeglądający witrynę jest przekierowywany do innej witryny bez podejmowania przez użytkownika żadnych działań. Witryna, na którą trafia użytkownik, jest powszechnie wykorzystywana jako część oszustwa lub prowadzi do infekcji złośliwym oprogramowaniem.

Zrzut ekranu strony głównej MyAdsBro - źródło: blog Confiant.com

APT31 stworzył i wykorzystał Beginads, fałszywą agencję reklamową, do nawiązywania relacji z platformami reklamowymi. Z czasem stała się domeną, której cyrkon używał do kierowania ruchem dla wszystkich kampanii wszystkich fałszywych agencji. APT31 ciężko pracował, aby upewnić się, że mają legalnie wyglądające relacje z wieloma prawdziwymi platformami reklamowymi. Takie podejście nadało również programowi pewną odporność i zmniejszyło prawdopodobieństwo wzbudzania podejrzeń. APT31 odsprzedawał również ruch do platform marketingu afiliacyjnego. Taki układ oznaczał, że APT31 nie musiał samodzielnie obsługiwać stron docelowych. Cyberprzestępcy poszli dalej , tworząc sieć afiliacyjną, którą sami prowadzili. Sieć nazywała się MyAdsBro. APT31 prowadził własne kampanie za pośrednictwem MyAdsBro, ale inni mogli również kierować ruch do MyAdsBro za prowizję.

Zrzut ekranu panelu internetowego klienta - źródło: blog Confiant.com

Po dokonaniu przekierowań użytkownicy zostali zachęceni do umożliwienia infekcji za pomocą kilku najpopularniejszych taktyk:

• Fałszywe wyskakujące okienka aktualizacji Adobe Flash Player
• Fałszywe wyskakujące okienka antywirusowe
• Oszustwa związane z pomocą techniczną
• Różne komunikaty typu scareware

APT31 dołożył wszelkich starań, ustanawiając swój program i nadając mu wygląd legalny. Wszystkie fałszywe agencje miały różne materiały marketingowe, fałszywych funkcjonariuszy z profilami w mediach społecznościowych, a nawet posty w tych mediach z unikalną treścią. Większość masowo produkowanych firm Zirconium została uruchomiona wiosną 2017 r. Nie wszystkie z 28 były wykorzystywane, ponieważ 8 z nich nigdy nie rozpoczęło swojej obecności w mediach społecznościowych i nie zaangażowało się w żadne działania reklamowe . Wysiłki cyberprzestępcy były ewidentnie skuteczne. Fałszywym agencjom APT31 udało się nawiązać bezpośrednie relacje biznesowe z 16 prawdziwymi platformami reklamowymi.

Tylko niewielka część ruchu, który został przekierowany do rzeczywistego ładunku. Aby uniknąć wykrycia i analizy, cyrkon zastosował metody unikania. APT31 zastosował technikę zwaną odciskiem palców. Jest to proces, w którym cyberprzestępcy zbierają informacje o systemach potencjalnych ofiar, aby dokładniej wskazać określoną część odbiorców. Celem cyberprzestępców podczas korzystania z odcisków palców jest uniknięcie wykrycia. W tym celu używali JavaScript w przeglądarce, aby sprawdzić, czy skrypt działa na skanerze bezpieczeństwa. Gdyby wykryto oznaki skanera, ładunek nie zostałby dostarczony. Istnieje ryzyko związane z pobieraniem odcisków palców. Skrypt jest widoczny dla każdego, kto go szuka, co może budzić podejrzenia, ale pobieranie odcisków palców pozwala na większą liczbę wdrożeń ładunku.

APT31 wykorzystuje swoją podstępną taktykę

Istnieją inne sposoby uniknięcia wykrycia, które nie wymagają uruchamiania skryptu po stronie użytkownika. Mechanizmy po stronie serwera mogą być bezpieczniejsze do zastosowania, ponieważ badacz bezpieczeństwa nie byłby w stanie ich przeanalizować, chyba że zostaną uruchomione. Jednym z takich podejść jest sprawdzenie, czy adres IP użytkownika jest adresem IP centrum danych. Skanery często wykorzystują adresy IP centrów danych i wykrycie takiego adresu IP byłoby wyraźnym sygnałem, aby nie wdrażać ładunku.

Pomimo imponującej skali złośliwej operacji APT31, badacze bezpieczeństwa nadal wskazują, że ich głównym celem jest kradzież własności intelektualnej. Rzeczywisty zakres wszystkich operacji cyrkonu jest nadal nieznany, podobnie jak ich potencjał do wyrządzenia szkód.