APT31/Zirconiu

APT31 este un grup de amenințări persistente avansate, care se concentrează pe furtul de proprietate intelectuală și publicitatea incorectă. Acest grup este numit și Zirconiu, Judgment Panda și Bronze Vinewood de către diferite organizații de securitate. Ca și în cazul majorității celorlalte grupuri APT, există suspiciuni că APT31 ar putea fi sponsorizat de stat și, în acest caz, statul suspect este China. În vara anului 2020, Google Threat Analysis Group a sugerat că APT31 viza campania prezidențială a lui Joe Biden cu e-mailuri de phishing.

Recent, TAG a văzut grupul APT din China vizând personalul campaniei Biden și Iran APT vizand personalul campaniei Trump cu phishing. Nici un semn de compromis. Le-am trimis utilizatorilor avertismentul de atac al guvernului și ne-am referit la forțele de ordine. https://t.co/ozlRL4SwhG

– Shane Huntley (@ShaneHuntley) 4 iunie 2020

Procesul de redirecționare forțată de la APT31

În 2017, APT31 derula cea mai mare operațiune de malvertising. Grupul a creat nu mai puțin de 28 de companii de publicitate falsă. Potrivit Confiant, Zirconium a cumpărat aproximativ 1 miliard de vizionări de anunțuri și a reușit să ajungă pe 62% din toate site-urile web monetizate cu anunțuri. Principalul vector de atac APT31 folosit a fost redirecționarea forțată. O redirecționare forțată apare atunci când cineva care navighează pe un site web este redirecționat către un alt site web fără ca utilizatorul să ia nicio măsură. Site-ul web pe care ajunge utilizatorul este folosit în mod obișnuit ca parte a unei escrocherii sau duce la o infecție cu malware.

Captură de ecran a paginii de pornire MyAdsBro - sursa: blogul Confiant.com

APT31 a creat și folosit Beginads, o agenție de publicitate falsă, pentru a stabili relații cu platformele publicitare. În continuare, a devenit domeniul pe care Zirconium îl va folosi pentru a direcționa traficul pentru toate campaniile tuturor agențiilor lor false. APT31 a lucrat din greu pentru a se asigura că au relații legitime cu o serie de platforme publicitare reale. Această abordare a oferit, de asemenea, schemei o oarecare rezistență și a făcut-o mai puțin probabil să trezească suspiciuni. APT31 a vândut, de asemenea, trafic către platformele de marketing afiliat. Acest aranjament a însemnat că APT31 nu trebuia să opereze paginile de destinație pe cont propriu. Infractorii cibernetici au mers mai departe , creând o rețea de afiliați pe care o operau ei înșiși. Rețeaua se numea MyAdsBro. APT31 obișnuia să-și desfășoare propriile campanii prin MyAdsBro, dar și alții puteau împinge trafic către MyAdsBro pentru un comision.

Captură de ecran din panoul web al clientului - sursă: blogul Confiant.com

Odată ce au avut loc redirecționările, utilizatorii au fost ademeniți să activeze infecția prin unele dintre cele mai populare tactici:

• Ferestre pop-up false de actualizare a Adobe Flash Player
• Pop-up-uri antivirus false
• Escrocherii de suport tehnic
• Diverse mesaje de sperietoare

APT31 a făcut eforturi mari atunci când și-a stabilit schema și a făcut-o să pară legitimă. Toate agențiile false au avut diverse materiale de marketing, ofițeri falși cu profiluri în rețelele de socializare și chiar postări în respectiva media cu conținut unic. Cele mai multe dintre companiile Zirconium produse în masă s-au lansat în primăvara lui 2017. Nu toate cele 28 au fost folosite, deoarece 8 dintre ele nu și-au început niciodată prezența pe rețelele sociale și nu s-au implicat în activități de publicitate . Eforturile criminalului cibernetic au fost în mod clar de succes. Agențiile false ale APT31 au reușit să creeze relații directe de afaceri cu 16 platforme de anunțuri reale.

Doar o mică parte din trafic au fost redirecționate către o sarcină utilă reală. Pentru a evita detectarea și analiza, Zirconiul a folosit metode de evaziune. APT31 a folosit o tehnică numită amprentare. Este un proces în care infractorii cibernetici colectează informații despre sistemele potențialelor victime pentru a viza mai precis o anumită parte a audienței. Scopul infractorilor cibernetici atunci când folosesc amprenta digitală este de a evita detectarea. În acest scop, ar folosi JavaScript în browser pentru a încerca să verifice dacă scriptul rulează pe un scanner de securitate. Dacă ar fi detectate semne ale unui scaner, sarcina utilă nu ar fi livrată. Există un risc legat de amprentarea. Scriptul este vizibil pentru oricine îl caută și asta poate ridica suspiciuni, dar amprentarea permite un număr mai mare de implementări ale încărcăturii utile.

APT31 își valorifică tacticile ascunse

Există și alte modalități de a evita detectarea care nu implică rularea unui script de partea utilizatorului. Mecanismele din partea serverului pot fi mai sigur de aplicat, deoarece un cercetător în securitate nu le-ar putea analiza decât dacă se declanșează. O astfel de abordare este de a verifica dacă IP-ul utilizatorului este un centru de date. Scanerele folosesc adesea IP-uri pentru centrele de date, iar detectarea unui astfel de IP ar fi un semn clar pentru a nu implementa încărcătura utilă.

În ciuda amplorii impresionante a operațiunii de publicitate incorectă a APT31, cercetătorii în securitate încă își identifică principalul obiectiv ca fiind furtul de proprietate intelectuală. Scopul real al tuturor operațiunilor Zirconiului este încă necunoscut, precum și potențialul lor de a face rău.