Киберкампания «Прикормка» представляет из себя операцию т. н. кибершпионажа, которая используется для слежения за пользователями на Украине. Кибергруппа, стоящая за реализацией «Прикормки», использовала ее в качестве проведения направленных кибератак на простых пользователей, а также для кибершпионажа за пользователями в политических целях.



Специалисты компании ESET выполнили детальный анализ вредоносного ПО Прикормки. Наш анализ включает в себя описание технических деталей Прикормки, механизмов ее распространения, а также описание наиболее примечательных киберкампаний.

В первой части мы сосредоточимся на описании общих целей Прикормки, а также опишем киберкампании атакующих.

Ниже приведены ключевые находки, которые были обнаружены в результате анализа Прикормки:

• Наибольшее распространение компоненты вредоносной программы получили на Украине. Сама вредоносная программа была активна, по крайней мере, с 2008 г.
• Основными целями Прикормки были ополченцы на востоке Украины, т. е. пользователи в Донецких и Луганских народных республиках.
• Мы обнаружили большое количество и других жертв Прикормки, включая, членов правительства Украины, украинских политиков, журналистов, членов международных миротворческих организаций и др.
• С большой долей вероятности можно утверждать, что атакующие действовали с территории Украины.

Статистика обнаружений

В третьем квартале 2015 г. специалисты ESET обнаружили ранее неизвестное семейство вредоносных программ, которое обладало модульной архитектурой. Оно получило название Prikormka. Дальнейший анализ показал, что это вредоносное ПО было активно, как минимум, с 2008 г. Также открылся тот факт, что наибольшая его активность была отмечена на Украине. Причина, по которой это ПО оставалось незаметным для антивирусных компаний, заключается в относительно небольшой его распространенности до 2015 г. После этого года, количество заражений резко возросло.


Рис. 1. Количество уникальных образцов вредоносной программы, которые были зафиксированы ESET, по годам (на основе отметки времени компиляции в PE-файлах).

Рисунок выше показывает распределение количества уникальных образцов Прикормки по годам на основе времени компиляции (timestamp) в заголовке PE-файлов. Несмотря на то, что такие значения полей заголовка PE-файла могут быть недостоверными, на этот раз информация из них полностью совпала с данными нашей системы телеметрии ESET LiveGrid.

Файл одного из первых образцов вредоносной программы, который попал к нам на анализ, назывался prikormka.exe. Известно, что таким термином рыболовы называют приманку, которая используется для привлечения рыбы. С тех пор мы стали использовать название Прикормка в ходе нашего исследования и использовали его для именования соответствующих семейств вредоносных программ Win32/Prikormka и Win64/Prikormka.

Такие свойства как низкий уровень обнаружения и возможность оставаться незаметным в течение нескольких лет, являются неотъемлемыми признаками вредоносного ПО типа Advanced Persistent Threat (APT). Дальнейшее исследование вредоносных кампаний и активности Прикормки укрепило нашу уверенность в том, что это вредоносное ПО используется в направленных кибератаках.

Направленные кибератаки обычно используются для выполнения различных действий, включая, операции разведки, кражу данных интеллектуальной собственности, диверсию и шпионаж. После анализа тактики, методов и процедур, которые использовались этим семейством вредоносных программ, а также вредоносными кампаниями, мы пришли к тому выводу, что в качестве целей выбирались конкретные люди (пользователи), а не организации. Даже в случае обнаружения модулей Прикормки в корпоративном сегменте, мы никогда не наблюдали осуществления злоумышленниками дальнейших действий по развертыванию его модулей.

Мы полагаем, что кибергруппа, стоящая за Прикормкой, действует из Украины, где и было обнаружено большинство жертв. По этой причине и в связи с природой этих кибератак, мы классифицировали их как кибершпионаж.

Вредоносные кампании

В этом разделе мы рассмотрим наиболее значимые и известные вредоносные кампании, а также т. н. документы-приманки, с которыми они были связаны. Ниже представлена статистика обнаружений по странам вредоносного ПО Прикормки на основе данных нашей системе телеметрии ESET LiveGrid.


Рис. 2. Статистика обнаружений вредоносных образцов Прикормки.

Согласно нашей системе телеметрии, на Украине присутствует наибольшее число обнаружений вредоносного ПО. Наше исследование показало, что злоумышленники, стоящие за Прикормкой, демонстрируют очень хорошее знание русского и украинского языка, а также имеют полное представление о текущей политической ситуации на Украине.

Для ответа на вопрос о том, какие типы пользователей были атакованы Прикормкой в вышеперечисленных странах, мы проанализировали документы-приманки, которые использовались в кибератаках.

Основным вектором заражения пользователей этой вредоносной программой, который мы смогли идентифицировать в процессе нашего анализа, стало использование атакующими фишинговых сообщений электронной почты с вредоносными файлами в качестве вложений или ссылками на такие вредоносные файлы. Когда пользователь открывал вредоносное вложение, значок которого маскировал его как документ, дроппер Прикормки отображал документ приманку для обмана пользователя и отвлечения его внимания. Такой трюк усыпляет бдительность жертвы, которая ожидала появление документа при его запуске. Стоит отметить, что он работает в случае с менее опытными пользователями. Также стоит отметить, что успешность компрометации пользователя зависит от качества и убедительности фишингового сообщения. Атакующий имеет больше шансов заразить компьютер в случае такого фишингового письма и документа приманки, которые актуальны для пользователя, иными словами, пользователь не должен быть удивлен получая их. Таким образом, анализ таких фальшивых документов может раскрыть информацию о предполагаемых целях этих кибератак.

Мы обнаружили, что в каждом образце вредоносного ПО Прикормки, присутствует интересный артефакт, который представляет идентификатор кампании (Campaign ID). Идентификаторы представляют из себя уникальные текстовые строки, использующиеся для идентификации определенных случаев заражений или попыток заражений со стороны операторов. Комбинации букв и цифр в них могут раскрыть информацию о намеченных атакующими целях.

Нам удалось выявить более 80 различных идентификаторов кампаний и даже большее количество документов приманок, которые связаны с ними. Было обнаружено, что, как правило, один идентификатор используется против одной цели кибератаки, которая может представлять из себя пользователя, организацию или группу лиц. Это означает, что один и тот же экземпляр кампании может быть обнаружен на нескольких компьютерах. Список идентификаторов вредоносных кампаний, а также даты компиляции исполняемых файлов, можно найти в конце анализа.

Стоит отметить, что в некоторых случаях трудно определить потенциальную жертву вредоносной программы, особенно когда заражения Прикормкой были обнаружены уже на этапе его активности в системе. Однако, нам стали известны некоторые ситуации заражения Прикормкой компьютерных сетей, относящихся к стратегическим целям, включая, украинское правительство. Прочие примечательные цели Прикормки будут упомянуты далее.

Кампании против ополченцев

Среди основных целей Прикормки были представители ополченцев на востоке Украины. Начиная с 2014 г. этот регион был вовлечен в вооруженный военный конфликт.

В апреле 2014 г. группа людей в одностороннем порядке провозгласила независимость двух регионов на востоке Украины: Донецка и Луганска. В ответ на это, украинское правительство классифицировало эти образования как террористические организации и, поэтому, территория этих регионов была объявлена зоной антитеррористической операции (АТО). 11-го мая 2014 г. власти этих самопровозглашенных республик провели референдум по отделению от Украины, стремясь узаконить создание республик.

Значительное число фальшивых документов (приманок), которые были использованы в кибератаках Прикормки, использовали различные темы, связанные с самопровозглашенными Донецкой и Луганской народными республиками (ДНР и ЛНР). Кроме этого, часть таких документов содержат личные данные членов ополчения и данные внутренней работы ДНР и ЛНР. Этот факт приводит нас к мысли о том, что операторы намеренно ориентировали свои кибератаки на представителей этих республик. Эти предположения подтверждаются нашей системой телеметрии ESET LiveGrid: в Донецкой и Луганской областях Прикормка получила наибольшее распространение, среди прочих регионов Украины.

Атакующие использовали методы социальной инженерии для того, чтобы убедить пользователя открыть вредоносное вложение. Для этого использовались специальные провокационные или привлекательные названия вредоносных файлов вложений. Ниже приведены несколько примеров таких имен файлов.

• Нацгвардейцы со шприцами сделали из донецкого мальчика мишень для ракет.exe. Дата компиляции файла: 5 ноября 2014 г.
• Последнее обращение командира бригады 'Призрак' Мозгового Алексея Борисовича к солдатам и офицерам ДНР и ЛНР.scr. Дата компиляции: 24 мая 2015 г.
• Места дислокации ВСУ в зоне проведения АТО.scr. Дата компиляции: 15 декабря 2015 г.

Ниже представлены примеры фальшивых документов приманок, которые использовались в кибератаках на представителей ополчения в Луганской и Донецкой областях.

В качестве первого примера можно взять исполняемый файл с названием СПРАВОЧНИК по МИНИСТЕРСТВАМ обновленный.exe, который сбрасывает на диск фальшивый документ со списком министерств самопровозглашенной республики. Идентификатор кампании для этого файла был D_xxx.


Рис. 3. Фальшивый документ со списком министерств ДНР. (На этом и последующих изображениях, потенциально конфиденциальные данные были нами отредактированы.)

Ниже приведен еще один пример фальшивого документа, который сбрасывается исполняемым файлом с названием материалы к зачету по законодательству.exe. Этот исполняемый файл копирует на диск несколько документов, включая, временную конституцию ЛНР и другие документы. Идентификатор кампании в этом случае соответствует L_ment; слово «ment» является сленгом для полицейского. Таким образом, злоумышленники демонстрируют глубокие знания русского языка.


Рис. 4. Фальшивый документ с законом, который описывает правила расследования преступлений.

Некоторые фальшивые документы используют тему Минских соглашений. Ниже приведен пример такого документа, который содержится в дроппере вредоносной программы с названием Схема демилитаризованной зоны в районе Шиокино.exe. В этом случае идентификатор кампании соответствует Lminfin.


Рис. 5. Фальшивый документ, который использует тему Минских соглашений.

Другой документ приманка даже содержит карту т. н. буферной зоны, которая была установлена в соответствии с Минским Протоколом. Ниже представлен пример документа, который находился в дроппере Прикормки с названием Отвод с 4 участками по сост на 14.08.exe. Идентификатор кампании в данном случае соответствует значению BUR.


Рис. 6. Фальшивый документ с картой буферной зоны.

Важное замечание: большинство исполняемых файлов Прикормки, которые предназначались для использования против ополченцев использовали идентификаторы кампаний, которые начинались с букв D или L. Вполне возможно, что речь идет о ДНР и ЛНР соответственно. Также мы обнаружили исполняемый файл с названием Заявление Эдуарда Басаргина 13 октября 2015 года в 15 часов.exe, который использует идентификатор кампании RF_lgm. Так как мы фиксировали его обнаружение в России, префикс RF может означать Российская Федерация.

Кампания против украинской националистической политической партии

Все предыдущие, указанные нами, фальшивые документы были извлечены из исполняемых файлов, которые имели названия на русском языке. В то время как украинский является официальным языком для Украины, население на востоке Украины, как правило, использует русский язык в противоположность западным регионам, где говорят на украинском.

Некоторые исполняемые файлы Прикормки имели названия на украинском. Например, мы наблюдали название файла План ДНР на 21 липня, щодо відводу військ.exe (план ДНР на 21 июля по отводу войск). Название файла свидетельствует о том, что вредоносное вложение сообщение предназначалось для жертвы, которая преимущественно использует украинский язык. Это предположение подтверждает и тот факт, что вредоносные файлы Прикормки обнаруживались в западных регионах Украины.

Идентификатор кампании для этого исполняемого файла соответствовал значению Psek, что указывает на известную националистическую партию «Правый сектор», которая должна была стать жертвой кибератаки.


Рис. 8. Фальшивый документ, который использовался в кибератаке на членов Правого сектора.

Другие кампании

Представители ополчения в Донецке и Луганске не были единственными основными целями Прикормки. Мы обнаружили и другие вредоносные кампании с интересными фальшивыми документами, но мы не смогли определить предполагаемых жертв только на основе этих документов.

Ниже представлен пример такого фальшивого документа, который, возможно, использовался в кибератаке против религиозной организации. Документ содержался в дроппере с названием Новое слово жизни.exe Идентификатор кампании соответствовал значению medium. Это значение может иметь отношение к следующему понятию.


Рис. 9. Фальшивый документ, который использовался в кибератаке на религиозные организации.

Еще одна вредоносная кампания была обнаружена в марте 2016 г. На этот раз название файла было на венгерском: Oneletrajz fizikai munka 2.pdf.scr, что переводится как «CV физическая работа». Фальшивый документ, который содержался в этом дроппере, представлял из себя резюме (CV) работника на венгерском. Указанный вредоносный .SCR файл представлял из себя архив, внутри которого содержалось два документа: резюме того же человека на украинском, а также сертификат на венгерском, который подтверждает данные резюме. На основе этой информации сложно сказать на кого именно была направлена кибератака, однако, понятно, что предполагаемая жертва должна была обладать знаниями венгерского и украинского языков. Идентификатор кампании был равен значению F_ego.


Рис. 10. Документ на венгерском, который использовался в упоминаемой выше кампании Прикормки.

Ниже представлен еще один документ, который сбрасывался на диск дроппером с названием bitcoin.exe. В этом случае идентификатор кампании соответствовал значению hmod.


Рис. 11. Фальшивый документ, который объясняет механизм совершения мошенничества с банковскими картами.

Текст на русском языке в документе приманке выше детально объясняет процесс покупки биткоинов с использованием украденных данных банковских карт. В тексте используется сленг, который часто используют русскоязычные кардеры.

Еще один таинственный документ приманки сбыл извлечен из дроппера Прикормки с названием prikormka.exe. Идентификатор кампании — 30K_alfa.


Рис. 12. Таинственный документ приманка, который содержится в дроппере с названием файла prikormka.exe.

Приведенный выше документ содержит информацию о расценках в украинском магазине, который продает различные типы прикормки.

Общая схема заражения

Ниже на схеме представлен общий процесс работы Прикормки.


Рис. Общая схема работы Прикормки и ее архитектура.

Во второй части мы сосредоточимся на технической части работы вредоносных файлов Прикормки.