Экспертный центр безопасности Positive Technologies (PT Expert Security Center, PT ESC) расследовал кибератаку вируса-шифровальщика на инфраструктуру одного СМИ, вернул доступ к данным, выявил двухлетнюю деятельность известной АРТ-группировки (предположительно с азиатскими корнями) и пресек ее.

Полная версия расследования представлена по ссылке, а в этой статье мы поделимся его главными фактами.

Введение

Отправной точкой для запуска расследования послужило массовое шифрование файлов в инфраструктуре клиентов с последующим требованием выкупа. Точная сумма выкупа осталась неизвестной, так как компания, ставшая жертвой атаки, не пошла на поводу у атакующих. 

Шифровальщики — одно из самых быстро развивающихся направлений киберпреступности и сегодня практически каждая четвертая атака совершается с применением этих вредоносных программ. Некоторые операторы шифровальщиков требуют отельные выкупы за расшифрование данных и за неразглашение украденной информации. Как правило, суммы требуемого выкупа исчисляются миллионами долларов, в зависимости от конкретной жертвы и характера украденных данных.

Как развивалась атака

Способ запуска шифровальщика можно назвать классическим, характерным признаком азиатских кибегруппировок. На компьютер жертвы передаются три файла:

  • GDFInstall.exe (MD5: 13435101240f78367123ef01a938c560) – легитимный компонент компьютерных игр, подписанный компанией Ubisoft  

  • GameuxInstallHelper.dll (MD5: 1fd8402275d42e7389f0d28b9537db0f) – вспомогательная DLL библиотека на платформе .NET (скомпилирована 29 апреля 2020 года), которая импортируется при запуске GDFInstall.exe.

На самом деле, это не оригинальный компонент: при экспорте символа GameExplorerInstallW будет выполнен код злоумышленников. Эта часто используемая техника загрузки вредоносного кода в контексте легитимного приложения называется DLL hijacking.

 Выполняется чтение файла c:\programdata\Sysurl.Hex (предварительно копируется из c:\windows\system32\Sysurl.Hex в случае отсутствия), затем данные расшифровываются линейным XOR с ключом ABCSCDFRWFFSDJJHGYUOIj. Результат декодируется с помощью Base64, а полученный PE файл загружается и выполняется в памяти средствами .NET среды.

Также отметим, что перед завершением работы полезная нагрузка и промежуточная библиотека удаляются. Удаление происходит стандартным, ненадежным способом, что позволяет восстановить данные, если работа с диском была оперативно остановлена и информация не перезатерлась.

  • Sysurl.Hex – зашифрованный шифровальщик Polar

Описанная последовательность вызова полезной нагрузки (легитимное приложение загружает вредоносную библиотеку, которая в свою очередь расшифровывает третий компонент и передает на него управление) очень часто используется для запуска бэкдора PlugX, который широко применяется различными азиатскими APT-группами: например, APT10, APT41, TA259, в том числе и Bronze Union.

Одной и задач, которые ставились перед PT ESC, было как раз восстановление зашифрованных данных. 

Как удалось расшифровать файлы

Ретроспективный анализ, проведенный в ходе расследования, показал, что инфраструктура компании была скомпрометирована не менее двух лет назад. Изначально была заражена инфраструктура одного из филиалов компании в другой стране. Далее состоялось проникновение в головную организацию. 

По нашему мнению, наиболее вероятной точкой проникновения в сеть стал уязвимый сервер на внешнем сетевом периметре: в феврале 2018 года был получен первичный доступ с закреплением в системе с помощью веб-шеллов. Далее, почти полтора года, как оказалось, злоумышленники использовали захваченные мощности компании для майнинга криптовалюты (Monero). И лишь в 2020 году в дело вступил троян-шифровальщик: от имени учетной записи скомпрометированного доменного администратора был разослан и запущен вымогатель Polar. Однако, его создатели допустили ошибку в защите криптосистемы, которую нам удалось выявить, благодаря чему все зашифрованные файлы были восстановлены. 

Злоумышленники также предприняли попытку вернуть контроль над инфраструктурой, используя еще не устраненные веб-шеллы в сети головной организации и филиала, прямо во время расследования, но на этот раз их действия остались безуспешными.

При чем здесь группировка APT27

Техники, тактики и инструментарий, использовавшиеся злоумышленниками, имели почерк, характерный для ряда кибергруппировок азиатского происхождения. Однако детальный анализ использованных при взломе бэкдоров, в том числе SysUpdate и HyperBro, позволяет утверждать, что за атакой стоит группировка АРТ27 (она же BRONZE UNION, LuckyMouse, Emissary Panda, Iron Tiger). Эта группировка, предположительно, имеет азиатские корни, существует и активна по крайней мере с 2010 года. Ее деятельность до сих пор была сфокусирована на государственных учреждениях в сфере обороны и энергетики, аэрокосмических предприятиях, а также индустриальном комплексе.

На этот раз атаке подверглось СМИ, что выходит за рамки традиционного портрета жертвы данной группировки. Однако киберпреступники применяли общедоступные и собственные инструменты, которые использовали и ранее. Таким образом, злоумышленники не изменили своим техникам и тактикам, но использовали нехарактерное ПО именно для монетизации атаки. Возможно, компрометация данной компании — случайность, и преступники постарались получить хоть какую-то выгоду.

Как не стать жертвой шифровальщика и что делать после атаки

Эксперты Positive Technologies напоминают, что не следует соглашаться с требованиями преступников: такого рода сделка не гарантирует, что данные компании или ее клиентов будут восстановлены, и тем более, что они не будут позже перепроданы в дарк-вебе. При этом пострадавшая организация должна будет восстанавливать инфраструктуру и затронутые информационные системы - иначе нельзя быть уверенным в том, что злоумышленники не смогут в любой момент снова получить доступ к инфраструктуре. 

В случае атаки компании следует оперативно привлечь внешних специалистов, имеющих опыт реагирования на инциденты такого рода и их расследования: остановить кибератаку, убедиться в том, что преступники больше не имеют доступа к сети, понять, каков был изначальный вектор атаки, как им удалось развить столь масштабно. Также компании необходимо учесть существующие недочеты, которые привели к негативным последствиям, и выстроить более эффективную систему защиты и восстановления инфраструктуры.