Экспертный центр безопасности Positive Technologies (PT Expert Security Center, PT ESC) расследовал кибератаку вируса-шифровальщика на инфраструктуру одного СМИ, вернул доступ к данным, выявил двухлетнюю деятельность известной АРТ-группировки (предположительно с азиатскими корнями) и пресек ее.
Полная версия расследования представлена по ссылке, а в этой статье мы поделимся его главными фактами.
Введение
Отправной точкой для запуска расследования послужило массовое шифрование файлов в инфраструктуре клиентов с последующим требованием выкупа. Точная сумма выкупа осталась неизвестной, так как компания, ставшая жертвой атаки, не пошла на поводу у атакующих.
Шифровальщики — одно из самых быстро развивающихся направлений киберпреступности и сегодня практически каждая четвертая атака совершается с применением этих вредоносных программ. Некоторые операторы шифровальщиков требуют отельные выкупы за расшифрование данных и за неразглашение украденной информации. Как правило, суммы требуемого выкупа исчисляются миллионами долларов, в зависимости от конкретной жертвы и характера украденных данных.
Как развивалась атака
Способ запуска шифровальщика можно назвать классическим, характерным признаком азиатских кибегруппировок. На компьютер жертвы передаются три файла:
GDFInstall.exe (MD5: 13435101240f78367123ef01a938c560) – легитимный компонент компьютерных игр, подписанный компанией Ubisoft
GameuxInstallHelper.dll (MD5: 1fd8402275d42e7389f0d28b9537db0f) – вспомогательная DLL библиотека на платформе .NET (скомпилирована 29 апреля 2020 года), которая импортируется при запуске GDFInstall.exe.
На самом деле, это не оригинальный компонент: при экспорте символа GameExplorerInstallW будет выполнен код злоумышленников. Эта часто используемая техника загрузки вредоносного кода в контексте легитимного приложения называется DLL hijacking.
Выполняется чтение файла c:\programdata\Sysurl.Hex (предварительно копируется из c:\windows\system32\Sysurl.Hex в случае отсутствия), затем данные расшифровываются линейным XOR с ключом ABCSCDFRWFFSDJJHGYUOIj. Результат декодируется с помощью Base64, а полученный PE файл загружается и выполняется в памяти средствами .NET среды.
Также отметим, что перед завершением работы полезная нагрузка и промежуточная библиотека удаляются. Удаление происходит стандартным, ненадежным способом, что позволяет восстановить данные, если работа с диском была оперативно остановлена и информация не перезатерлась.
Sysurl.Hex – зашифрованный шифровальщик Polar
Описанная последовательность вызова полезной нагрузки (легитимное приложение загружает вредоносную библиотеку, которая в свою очередь расшифровывает третий компонент и передает на него управление) очень часто используется для запуска бэкдора PlugX, который широко применяется различными азиатскими APT-группами: например, APT10, APT41, TA259, в том числе и Bronze Union.
Одной и задач, которые ставились перед PT ESC, было как раз восстановление зашифрованных данных.
Как удалось расшифровать файлы
Ретроспективный анализ, проведенный в ходе расследования, показал, что инфраструктура компании была скомпрометирована не менее двух лет назад. Изначально была заражена инфраструктура одного из филиалов компании в другой стране. Далее состоялось проникновение в головную организацию.
По нашему мнению, наиболее вероятной точкой проникновения в сеть стал уязвимый сервер на внешнем сетевом периметре: в феврале 2018 года был получен первичный доступ с закреплением в системе с помощью веб-шеллов. Далее, почти полтора года, как оказалось, злоумышленники использовали захваченные мощности компании для майнинга криптовалюты (Monero). И лишь в 2020 году в дело вступил троян-шифровальщик: от имени учетной записи скомпрометированного доменного администратора был разослан и запущен вымогатель Polar. Однако, его создатели допустили ошибку в защите криптосистемы, которую нам удалось выявить, благодаря чему все зашифрованные файлы были восстановлены.
Злоумышленники также предприняли попытку вернуть контроль над инфраструктурой, используя еще не устраненные веб-шеллы в сети головной организации и филиала, прямо во время расследования, но на этот раз их действия остались безуспешными.
При чем здесь группировка APT27
Техники, тактики и инструментарий, использовавшиеся злоумышленниками, имели почерк, характерный для ряда кибергруппировок азиатского происхождения. Однако детальный анализ использованных при взломе бэкдоров, в том числе SysUpdate и HyperBro, позволяет утверждать, что за атакой стоит группировка АРТ27 (она же BRONZE UNION, LuckyMouse, Emissary Panda, Iron Tiger). Эта группировка, предположительно, имеет азиатские корни, существует и активна по крайней мере с 2010 года. Ее деятельность до сих пор была сфокусирована на государственных учреждениях в сфере обороны и энергетики, аэрокосмических предприятиях, а также индустриальном комплексе.
На этот раз атаке подверглось СМИ, что выходит за рамки традиционного портрета жертвы данной группировки. Однако киберпреступники применяли общедоступные и собственные инструменты, которые использовали и ранее. Таким образом, злоумышленники не изменили своим техникам и тактикам, но использовали нехарактерное ПО именно для монетизации атаки. Возможно, компрометация данной компании — случайность, и преступники постарались получить хоть какую-то выгоду.
Как не стать жертвой шифровальщика и что делать после атаки
Эксперты Positive Technologies напоминают, что не следует соглашаться с требованиями преступников: такого рода сделка не гарантирует, что данные компании или ее клиентов будут восстановлены, и тем более, что они не будут позже перепроданы в дарк-вебе. При этом пострадавшая организация должна будет восстанавливать инфраструктуру и затронутые информационные системы - иначе нельзя быть уверенным в том, что злоумышленники не смогут в любой момент снова получить доступ к инфраструктуре.
В случае атаки компании следует оперативно привлечь внешних специалистов, имеющих опыт реагирования на инциденты такого рода и их расследования: остановить кибератаку, убедиться в том, что преступники больше не имеют доступа к сети, понять, каков был изначальный вектор атаки, как им удалось развить столь масштабно. Также компании необходимо учесть существующие недочеты, которые привели к негативным последствиям, и выстроить более эффективную систему защиты и восстановления инфраструктуры.
ReklatsMasters
Удалось ли отследить злоумышленников? Может какое-нибудь ФБР ведёт расследование?