APT31/Zirkónium
APT31 je skupina pokročilých perzistentných hrozieb so zameraním na krádeže duševného vlastníctva a malvertising. Túto skupinu rôzne bezpečnostné organizácie nazývajú aj Zirconium, Judgment Panda a Bronze Vinewood. Rovnako ako u väčšiny ostatných skupín APT existujú podozrenia, že APT31 môže byť sponzorovaný štátom a v tomto prípade je podozrivým štátom Čína. V lete 2020 skupina pre analýzu hrozieb Google naznačila, že APT31 sa zameriava na prezidentskú kampaň Joea Bidena pomocou phishingových e-mailov.
Nedávno TAG videl, že skupina China APT sa zameriava na zamestnancov kampane Biden a skupina Iran APT sa zameriava na zamestnancov kampane Trump pomocou phishingu. Žiadny náznak kompromisu. Používateľom sme poslali varovanie pred vládnym útokom a odkázali sme na kŕmené orgány činné v trestnom konaní. https://t.co/ozlRL4SwhG
— Shane Huntley (@ShaneHuntley) 4. júna 2020
Proces núteného presmerovania APT31
V roku 2017 prevádzkovala APT31 najväčšiu malvertisingovú operáciu. Skupina vytvorila najmenej 28 falošných reklamných spoločností. Podľa spoločnosti Confiant si spoločnosť Zirconium kúpila približne 1 miliardu zobrazení reklamy a podarilo sa jej dostať na 62 % všetkých webových stránok speňažených reklamami. Hlavným použitým vektorom útoku APT31 bolo vynútené presmerovanie. K vynútenému presmerovaniu dochádza, keď je niekto pri prehliadaní webovej lokality presmerovaný na inú webovú lokalitu bez toho, aby používateľ vykonal akúkoľvek akciu. Webová stránka, na ktorú používateľ skončí, sa bežne používa ako súčasť podvodu alebo vedie k infekcii škodlivým softvérom.
Snímka obrazovky domovskej stránky MyAdsBro – zdroj: blog Confiant.com
APT31 vytvoril a použil Beginads, falošnú reklamnú agentúru, na nadviazanie vzťahov s reklamnými platformami. Postupne sa to stalo doménou, ktorú by Zirkónium použilo na smerovanie návštevnosti pre všetky kampane všetkých ich falošných agentúr. APT31 tvrdo pracovali, aby sa uistili, že majú legitímne vyzerajúce vzťahy s množstvom skutočných reklamných platforiem. Tento prístup tiež dodal systému určitú odolnosť a znížil pravdepodobnosť, že bude vyvolávať podozrenia. APT31 tiež predával návštevnosť na affiliate marketingové platformy. Toto usporiadanie znamenalo, že APT31 nemusel prevádzkovať vstupné stránky samostatne. Kyberzločinci zašli ešte ďalej a vytvorili pridruženú sieť, ktorú sami prevádzkovali. Sieť sa volala MyAdsBro. APT31 v minulosti prevádzkoval svoje vlastné kampane prostredníctvom MyAdsBro, ale iní mohli tiež tlačiť návštevnosť do MyAdsBro za províziu.
Snímka obrazovky zákazníckeho webového panela – zdroj: blog Confiant.com
Po vykonaní presmerovaní boli používatelia nalákaní, aby umožnili infekciu prostredníctvom niektorých z najpopulárnejších taktík:
- Falošné kontextové okná aktualizácie Adobe Flash Player
- Falošné antivírusové kontextové okná
- Podvody s technickou podporou
- Rôzne strašidelné správy
APT31 zašli do veľkých dĺžok pri vytváraní svojej schémy a vytváraní legitímneho vzhľadu. Všetky falošné agentúry mali rôzne marketingové materiály, falošných úradníkov s profilmi na sociálnych médiách a dokonca aj príspevky v týchto médiách s jedinečným obsahom. Väčšina sériovo vyrábaných spoločností spoločnosti Zirconium bola spustená na jar 2017. Nie všetkých 28 bolo použitých, pretože 8 z nich nikdy nezačalo pôsobiť na sociálnych sieťach a nezapojilo sa do žiadnych reklamných aktivít . Úsilie kyberzločinca bolo jednoznačne úspešné. Falošným agentúram APT31 sa podarilo vytvoriť priame obchodné vzťahy so 16 skutočnými reklamnými platformami.
Len malá časť dopravy bola presmerovaná na skutočné užitočné zaťaženie. Aby sa predišlo detekcii a analýze, zirkónium používalo metódy úniku. APT31 využíva techniku nazývanú odtlačky prstov. Ide o proces, pri ktorom kyberzločinci zhromažďujú informácie o systémoch potenciálnych obetí, aby sa presnejšie zamerali na určitú časť publika. Cieľom kyberzločincov pri používaní odtlačkov prstov je vyhnúť sa odhaleniu. Na tento účel by použili JavaScript v prehliadači, aby sa pokúsili zistiť, či skript beží proti bezpečnostnému skeneru. Ak by sa zistili známky skenera, náklad by nebol doručený. Existuje riziko spojené so snímaním odtlačkov prstov. Skript je viditeľný pre každého, kto ho hľadá, a to môže vyvolať podozrenie, no snímanie odtlačkov prstov umožňuje vyšší počet nasadení užitočného zaťaženia.
APT31 využíva svoju záludnú taktiku
Existujú aj iné spôsoby, ako sa vyhnúť detekcii, ktoré nezahŕňajú spustenie skriptu na strane používateľa. Mechanizmy na strane servera môžu byť bezpečnejšie, pretože bezpečnostný výskumník by ich nemohol analyzovať, pokiaľ by sa nespustili. Jedným z takýchto prístupov je skontrolovať, či IP používateľa je IP dátového centra. Skenery často používajú adresy IP dátových centier a zistenie takejto adresy IP by bolo jasným znakom toho, že by ste nemali nasadzovať užitočné zaťaženie.
Napriek pôsobivému rozsahu škodlivých inzertných operácií APT31 výskumníci bezpečnosti stále identifikujú svoje hlavné zameranie na krádeže duševného vlastníctva. Skutočný rozsah všetkých operácií spoločnosti Zirconium je stále neznámy, rovnako ako ich potenciál spôsobiť škody.
