АПТ31/Цирконијум

АПТ31 је напредна група за трајне претње са фокусом на крађу интелектуалне својине и злонамерно оглашавање. Различите безбедносне организације ову групу називају и Цирконијум, Јудгемент Панда и Бронзано дрво. Као и код већине других АПТ група, постоје сумње да је АПТ31 можда спонзорисан од стране државе иу овом случају осумњичена држава је Кина. У лето 2020. Гоогле група за анализу претњи сугерисала је да је АПТ31 циљао председничку кампању Џоа Бајдена са пхисхинг имејловима.

Недавно је ТАГ видео кинеску АПТ групу која циља на особље Бајденове кампање и Иран АПТ како циља Трампово предизборно особље фишингом. Нема знака компромиса. Корисницима смо послали наше упозорење о нападу владе и позвали смо органе за спровођење закона. хттпс://т.цо/озлРЛ4СвхГ

— Шејн Хантли (@СханеХунтлеи) 4. јуна 2020

Процес присилног преусмеравања АПТ31

Још 2017. године, АПТ31 је водио највећу операцију злонамерног оглашавања. Група је створила не мање од 28 лажних рекламних компанија. Према Цонфиант-у, Цирконијум је купио око милијарду прегледа огласа и успео је да дође на 62% свих веб-сајтова са монетизацијом. Главни коришћени вектор напада АПТ31 је било принудно преусмеравање. Принудно преусмеравање се дешава када неко прегледа веб локацију буде преусмерен на другу веб локацију, а да корисник није предузео никакву радњу. Веб локација на којој корисник заврши обично се користи као део преваре или доводи до заразе малвером.

Снимак екрана почетне странице МиАдсБро - извор: блог Цонфиант.цом

АПТ31 је креирао и користио Бегинадс, лажну рекламну агенцију, за успостављање односа са огласним платформама. У наставку, постао је домен који ће Цирконијум користити за усмеравање саобраћаја за све кампање свих њихових лажних агенција. АПТ31 је напорно радио да би се уверио да имају легитимне односе са бројним правим платформама за оглашавање. Овај приступ је такође дао шеми одређену отпорност и смањио је вероватноћу да изазива сумње. АПТ31 је такође препродавао саобраћај на придружене маркетиншке платформе. Овај аранжман је значио да АПТ31 није морао сам да управља одредишним страницама. Сајбер-криминалци су отишли даље , стварајући придружену мрежу којом су сами управљали. Мрежа се звала МиАдсБро. АПТ31 је некада водио сопствене кампање преко МиАдсБро-а, али су други такође могли да усмеравају саобраћај на МиАдсБро за провизију.

Снимак екрана веб панела корисника - извор: блог Цонфиант.цом

Када је дошло до преусмеравања, корисници су били привучени да омогуће заразу кроз неке од најпопуларнијих тактика:

• Лажни искачући прозори за ажурирање Адобе Фласх Плаиер-а
• Лажни антивирусни искачући прозори
• Преваре техничке подршке
• Разне застрашујуће поруке

АПТ31 се потрудио када је успоставио своју шему и учинио да изгледа легитимно. Све лажне агенције имале су различите маркетиншке материјале, лажне службенике са профилима на друштвеним мрежама, па чак и постове у поменутим медијима са јединственим садржајем. Већина цирконијумових масовно произведених компанија покренута је у пролеће 2017. Нису сви од 28 коришћени јер њих 8 никада није започело присуство на друштвеним мрежама и није се укључило ни у какве рекламне активности . Напори сајбер криминалца су очигледно били успешни. Лажне агенције АПТ31 успеле су да створе директне пословне односе са 16 правих огласних платформи.

Само мали део саобраћаја су преусмерени на стварни терет. Да би избегао откривање и анализу, Цирконијум је користио методе избегавања. АПТ31 је користио технику која се зове отисак прста. То је процес у коме сајбер криминалци прикупљају информације о системима потенцијалних жртава да би прецизније циљали одређени део публике. Циљ сајбер криминалаца када користе отиске прстију је да избегну откривање. У ту сврху, користили би ЈаваСцрипт у претраживачу да би покушали да утврде да ли се скрипта изводи против сигурносног скенера. Ако би се открили знаци скенера, терет не би био испоручен. Уз узимање отисака прстију постоји ризик. Скрипта је видљива свима који је траже и то може изазвати сумњу, али отисак прста омогућава већи број распоређивања корисног оптерећења.

АПТ31 користи своју лукаву тактику

Постоје и други начини да се избегне откривање који не укључују покретање скрипте на страни корисника. Механизми на страни сервера могу бити сигурнији за примену јер истраживач безбедности не би могао да их анализира осим ако се не активирају. Један такав приступ је да се провери да ли је ИП корисника ИП адреса центра података. Скенери често користе ИП адресе центара података и откривање такве ИП адресе би био јасан знак да се корисни терет не користи.

Упркос импресивном обиму злонамерне операције АПТ31, истраживачи безбедности и даље идентификују свој главни фокус на крађу интелектуалне својине. Прави обим свих операција Цирконијума је још увек непознат, као ни њихов потенцијал да нанесу штету.