APT31/Zircônio

O APT31 é uma Ameaça Persistente Avançada com foco no roubo de propriedade intelectual e malvertising. Esse grupo também é chamado de Zirconium, Judgment Panda e Bronze Vinewood por diferentes organizações de segurança. Como a maioria dos outros grupos APT, há suspeitas de que o APT31 possa ser patrocinado pelo estado e, neste caso, o estado suspeito é a China. No verão de 2020, o Grupo de Análise de Ameaças do Google sugeriu que o APT31 tinha como alvo a campanha presidencial de Joe Biden com emails de phishing.

Recentemente, a TAG viu um grupo APT da China visando a equipe de campanha de Biden e o APT do Irã visando a equipe de campanha de Trump com phishing. Nenhum sinal de compromisso. Enviamos aos usuários o nosso aviso de ataque do governo e nos referimos à aplicação da lei do fed. https://t.co/ozlRL4SwhG

- Shane Huntley (@ShaneHuntley) 4 de junho de 2020

O Processo de Redirecionamento Forçado do APT31

Em 2017, o APT31 estava executando a sua maior operação de malvertising. O grupo havia criado nada menos que 28 falsas empresas de propaganda. De acordo com a Confiant, o Zirconium comprou aproximadamente 1 bilhão de visualizações de anúncios e conseguiu chegar a 62% de todos os sites monetizados com anúncios. O principal vetor de ataque usado pelo APT31 foi o redirecionamento forçado. Um redirecionamento forçado ocorre quando alguém que está navegando em um site é redirecionado para outro site sem que essa pessoa execute nenhuma ação. O site que o usuário acessa costuma ser usado como parte de um esquema ou leva a uma infecção por malware.

Captura de Tela da Página Inicial do MyAdsBro - fonte: blog Confiant.com

O APT31 criou e usou a Beginads, uma agência de publicidade falsa, para estabelecer relacionamentos com plataformas de anúncios. No futuro, ela se tornou o domínio que a Zircônio usaria para direcionar o tráfego para todas as campanhas de todas as suas agências falsas. O APT31 trabalhou duro para garantir que eles tivessem relacionamentos de aparência legítima com várias plataformas de anúncios reais. Essa abordagem também deu ao esquema alguma resiliência e tornou menos provável que levantasse suspeitas. O APT31 também revendeu tráfego para plataformas de marketing de afiliados. Esse acordo significava que o APT31 não precisava operar as páginas de destino por conta própria. Os cibercriminosos foram além, criando uma rede afiliada que eles próprios operavam. A rede foi chamada de MyAdsBro. APT31 costumava executar suas próprias campanhas por meio do MyAdsBro, mas outros também podiam enviar tráfego para o MyAdsBro por uma comissão.

Captura de Tela do Painel da Web do Cliente - fonte: blog Confiant.com

Assim que os redirecionamentos ocorreram, os usuários foram estimulados a permitir a infecção por meio de algumas das táticas mais populares existentes:

• Pop-ups falsos de atualização do Adobe Flash Player
• Pop-ups de falsos anti-vírus
• Golpes de suporte técnico
• Várias mensagens de scareware

O APT31 fez um grande esforço ao estabelecer o seu esquema e torná-lo legítimo. Todas as agências falsas continham diversos materiais de marketing, oficiais falsos com perfis nas redes sociais e até mesmo postagens na referida mídia com conteúdo exclusivo. A maioria das empresas de produção em massa do Zirconium foram lançada na primavera de 2017. Nem todas as 28 foram usadas, pois 8 delas nunca apareceram nas redes sociais e não se envolveram em nenhuma atividade de publicidade. Os esforços do cibercriminoso foram claramente bem-sucedidos. As agências falsas do APT31 conseguiram criar relacionamentos comerciais diretos com 16 plataformas de anúncios reais.

Apenas uma pequena parte do tráfego foi redirecionada para uma carga útil real. Para evitar a detecção e análise, o Zircônio usou métodos de evasão. O APT31 empregou uma técnica chamada impressão digital. É um processo no qual os cibercriminosos coletam informações sobre os sistemas das vítimas em potencial para atingir com mais precisão uma parte específica do público. O objetivo dos cibercriminosos ao usar impressões digitais é evitar a detecção. Para isso, eles usariam JavaScript no navegador para tentar verificar se o script estava sendo executado em um scanner de segurança. Se sinais de um digitalizador fossem detectados, a carga útil não seria entregue. Existe um risco envolvido com a impressão digital. O script é visível para qualquer pessoa que esteja procurando por ele e isso pode levantar suspeitas, mas a impressão digital permite um número maior de implantações da carga útil.

O APT31 se Aproveita de Suas Táticas Furtivas

Existem outras maneiras de evitar a detecção que não envolvem a execução de um script do lado do usuário. Os mecanismos do lado do servidor podem ser mais seguros de se aplicar, pois um pesquisador de segurança não seria capaz de analisá-los a menos que fossem acionados. Uma dessas abordagens é verificar se o IP do usuário é um IP do datacenter. Os digitalizadores costumam usar IPs de datacenter e detectar esse IP seria um sinal claro de não implantar a carga útil.

Apesar da escala impressionante da operação de malvertising do APT31, os pesquisadores de segurança ainda identificaram que o seu foco principal é o roubo de propriedade intelectual. O real escopo de todas as operações do Zircônio ainda é desconhecido, bem como o seu potencial de causar danos.