APT31/Zirkonium

APT31 është një grup i avancuar i Kërcënimeve të Përhershme me fokus në vjedhjen e pronës intelektuale dhe keqvertim. Ky grup quhet edhe Zirconium, Judgment Panda dhe Bronze Vinewood nga organizata të ndryshme sigurie. Ashtu si shumica e grupeve të tjera APT, ka dyshime se APT31 mund të jetë i sponsorizuar nga shteti dhe në këtë rast shteti i dyshuar është Kina. Në verën e vitit 2020, Grupi i Analizës së Kërcënimeve të Google sugjeroi se APT31 po synonte fushatën presidenciale të Joe Biden me email phishing.

Kohët e fundit TAG pa grupin APT të Kinës që synonte stafin e fushatës së Bidenit dhe APT-në e Iranit që synonte stafin e fushatës së Trump me phishing. Asnjë shenjë kompromisi. Ne u dërguam përdoruesve paralajmërimin tonë për sulmin e qeverisë dhe iu referuam zbatimit të ligjit të ushqyer. https://t.co/ozlRL4SwhG

— Shane Huntley (@ShaneHuntley) 4 qershor 2020

Procesi i ridrejtimit të detyruar të APT31

Në vitin 2017, APT31 drejtonte operacionin më të madh të keqverifikimeve. Grupi kishte krijuar jo më pak se 28 kompani të rreme reklamash. Sipas Confiant, Zirconium kishte blerë afërsisht 1 miliard shikime reklamash dhe kishte arritur të merrte 62% të të gjitha faqeve të internetit të fituara nga reklama. Vektori kryesor i sulmit APT31 i përdorur ishte ridrejtimi i detyruar. Një ridrejtim i detyruar ndodh kur dikush që shfleton një faqe interneti ridrejtohet në një uebsajt tjetër pa marrë asnjë veprim përdoruesi. Faqja e internetit në të cilën përfundon përdoruesi përdoret zakonisht si pjesë e një mashtrimi ose çon në një infeksion malware.

Pamja e ekranit të faqes kryesore të MyAdsBro - burimi: Blogu Confiant.com

APT31 krijoi dhe përdori Beginads, një agjenci reklamash false, për të krijuar marrëdhënie me platformat e reklamave. Në fund të fundit, ai u bë domeni që Zirconium do të përdorte për të drejtuar trafikun për të gjitha fushatat e të gjitha agjencive të tyre false. APT31 punoi shumë për t'u siguruar që ata të kishin një marrëdhënie me pamje legjitime me një numër platformash reale reklamash. Kjo qasje gjithashtu i dha skemës njëfarë elasticiteti dhe e bëri më pak të ngjarë të ngrinte dyshime. APT31 gjithashtu rishiti trafikun në platformat e marketingut të filialeve. Kjo marrëveshje nënkuptonte që APT31 nuk duhej të operonte vetë faqet e uljes. Kriminelët kibernetikë shkuan më tej , duke krijuar një rrjet filialesh që ata vetë e operonin. Rrjeti u quajt MyAdsBro. APT31 përdorte për të drejtuar fushatat e veta përmes MyAdsBro, por të tjerët gjithashtu mund të shtynin trafikun në MyAdsBro për një komision.

Pamja e ekranit të panelit të uebit të klientit - burimi: Blogu Confiant.com

Pasi u kryen ridrejtimet, përdoruesit u joshën për të mundësuar infeksionin përmes disa prej taktikave më të njohura:

• Shfaqje të rreme të përditësimit të Adobe Flash Player
• Shfaqje të rreme antivirus
• Mashtrimet e mbështetjes teknike
• Mesazhe të ndryshme frikësuese

APT31 bëri përpjekje të mëdha kur vendosi skemën e tyre dhe e bëri atë të duket legjitime. Të gjitha agjencitë e rreme kishin materiale të ndryshme marketingu, oficerë të rremë me profile në mediat sociale, madje edhe postime në mediat e përmendura me përmbajtje unike. Shumica e kompanive të prodhuara në masë të Zirconium u lançuan në pranverën e 2017. Jo të gjitha nga 28 u përdorën pasi 8 prej tyre nuk filluan kurrë prezencën e tyre në mediat sociale dhe nuk u përfshinë në asnjë aktivitet reklamimi . Përpjekjet e kriminelit kibernetik ishin qartësisht të suksesshme. Agjencitë e rreme të APT31 arritën të krijojnë marrëdhënie të drejtpërdrejta biznesi me 16 platforma reale reklamash.

Vetëm një pjesë e vogël e trafikut ata u ridrejtuan në një ngarkesë aktuale. Për të shmangur zbulimin dhe analizën, Zirconium përdori metoda evazioni. APT31 përdori një teknikë të quajtur gjurmë gishtash. Është një proces ku kriminelët kibernetikë mbledhin informacione rreth sistemeve të viktimave të mundshme për të synuar më saktë një pjesë të caktuar të audiencës. Qëllimi i kriminelëve kibernetikë kur përdorin gjurmët e gishtërinjve është të shmangin zbulimin. Për këtë qëllim, ata do të përdorin JavaScript në shfletues për të provuar dhe verifikuar nëse skripti po funksiononte kundër një skaner sigurie. Nëse do të zbuloheshin shenja të një skaneri, ngarkesa nuk do të dorëzohej. Ekziston një rrezik i përfshirë me gjurmët e gishtërinjve. Skripti është i dukshëm për këdo që e kërkon dhe kjo mund të ngrejë dyshime, por gjurmimi i gishtërinjve lejon një numër më të madh vendosjesh të ngarkesës.

APT31 përdor taktikat e tij të poshtër

Ka mënyra të tjera për të shmangur zbulimin që nuk përfshijnë ekzekutimin e një skripti nga ana e përdoruesit. Mekanizmat nga ana e serverit mund të jenë më të sigurt për t'u aplikuar pasi një studiues i sigurisë nuk do të jetë në gjendje t'i analizojë ato nëse nuk aktivizohen. Një qasje e tillë është të kontrolloni nëse IP-ja e përdoruesit është një IP e qendrës së të dhënave. Skanerët shpesh përdorin IP të qendrës së të dhënave dhe zbulimi i një IP të tillë do të ishte një shenjë e qartë për të mos vendosur ngarkesën.

Pavarësisht shkallës mbresëlënëse të operacionit të keqverifikimeve të APT31, studiuesit e sigurisë ende identifikojnë fokusin e tyre kryesor në vjedhjen e pronës intelektuale. Shtrirja reale e të gjitha operacioneve të Zirconium është ende e panjohur, siç është edhe potenciali i tyre për të bërë dëm.