Киберкампания «Прикормка» представляет из себя операцию т. н. кибершпионажа, которая используется для слежения за пользователями на Украине. Кибергруппа, стоящая за реализацией «Прикормки», использовала ее в качестве проведения направленных кибератак на простых пользователей, а также для кибершпионажа за пользователями в политических целях.



Специалисты компании ESET выполнили детальный анализ вредоносного ПО Прикормки. Наш анализ включает в себя описание технических деталей Прикормки, механизмов ее распространения, а также описание наиболее примечательных киберкампаний.

В первой части мы сосредоточимся на описании общих целей Прикормки, а также опишем киберкампании атакующих.

Ниже приведены ключевые находки, которые были обнаружены в результате анализа Прикормки:

  • Наибольшее распространение компоненты вредоносной программы получили на Украине. Сама вредоносная программа была активна, по крайней мере, с 2008 г.
  • Основными целями Прикормки были ополченцы на востоке Украины, т. е. пользователи в Донецких и Луганских народных республиках.
  • Мы обнаружили большое количество и других жертв Прикормки, включая, членов правительства Украины, украинских политиков, журналистов, членов международных миротворческих организаций и др.
  • С большой долей вероятности можно утверждать, что атакующие действовали с территории Украины.

Статистика обнаружений

В третьем квартале 2015 г. специалисты ESET обнаружили ранее неизвестное семейство вредоносных программ, которое обладало модульной архитектурой. Оно получило название Prikormka. Дальнейший анализ показал, что это вредоносное ПО было активно, как минимум, с 2008 г. Также открылся тот факт, что наибольшая его активность была отмечена на Украине. Причина, по которой это ПО оставалось незаметным для антивирусных компаний, заключается в относительно небольшой его распространенности до 2015 г. После этого года, количество заражений резко возросло.


Рис. 1. Количество уникальных образцов вредоносной программы, которые были зафиксированы ESET, по годам (на основе отметки времени компиляции в PE-файлах).

Рисунок выше показывает распределение количества уникальных образцов Прикормки по годам на основе времени компиляции (timestamp) в заголовке PE-файлов. Несмотря на то, что такие значения полей заголовка PE-файла могут быть недостоверными, на этот раз информация из них полностью совпала с данными нашей системы телеметрии ESET LiveGrid.

Файл одного из первых образцов вредоносной программы, который попал к нам на анализ, назывался prikormka.exe. Известно, что таким термином рыболовы называют приманку, которая используется для привлечения рыбы. С тех пор мы стали использовать название Прикормка в ходе нашего исследования и использовали его для именования соответствующих семейств вредоносных программ Win32/Prikormka и Win64/Prikormka.

Такие свойства как низкий уровень обнаружения и возможность оставаться незаметным в течение нескольких лет, являются неотъемлемыми признаками вредоносного ПО типа Advanced Persistent Threat (APT). Дальнейшее исследование вредоносных кампаний и активности Прикормки укрепило нашу уверенность в том, что это вредоносное ПО используется в направленных кибератаках.

Направленные кибератаки обычно используются для выполнения различных действий, включая, операции разведки, кражу данных интеллектуальной собственности, диверсию и шпионаж. После анализа тактики, методов и процедур, которые использовались этим семейством вредоносных программ, а также вредоносными кампаниями, мы пришли к тому выводу, что в качестве целей выбирались конкретные люди (пользователи), а не организации. Даже в случае обнаружения модулей Прикормки в корпоративном сегменте, мы никогда не наблюдали осуществления злоумышленниками дальнейших действий по развертыванию его модулей.

Мы полагаем, что кибергруппа, стоящая за Прикормкой, действует из Украины, где и было обнаружено большинство жертв. По этой причине и в связи с природой этих кибератак, мы классифицировали их как кибершпионаж.

Вредоносные кампании

В этом разделе мы рассмотрим наиболее значимые и известные вредоносные кампании, а также т. н. документы-приманки, с которыми они были связаны. Ниже представлена статистика обнаружений по странам вредоносного ПО Прикормки на основе данных нашей системе телеметрии ESET LiveGrid.


Рис. 2. Статистика обнаружений вредоносных образцов Прикормки.

Согласно нашей системе телеметрии, на Украине присутствует наибольшее число обнаружений вредоносного ПО. Наше исследование показало, что злоумышленники, стоящие за Прикормкой, демонстрируют очень хорошее знание русского и украинского языка, а также имеют полное представление о текущей политической ситуации на Украине.

Для ответа на вопрос о том, какие типы пользователей были атакованы Прикормкой в вышеперечисленных странах, мы проанализировали документы-приманки, которые использовались в кибератаках.

Основным вектором заражения пользователей этой вредоносной программой, который мы смогли идентифицировать в процессе нашего анализа, стало использование атакующими фишинговых сообщений электронной почты с вредоносными файлами в качестве вложений или ссылками на такие вредоносные файлы. Когда пользователь открывал вредоносное вложение, значок которого маскировал его как документ, дроппер Прикормки отображал документ приманку для обмана пользователя и отвлечения его внимания. Такой трюк усыпляет бдительность жертвы, которая ожидала появление документа при его запуске. Стоит отметить, что он работает в случае с менее опытными пользователями. Также стоит отметить, что успешность компрометации пользователя зависит от качества и убедительности фишингового сообщения. Атакующий имеет больше шансов заразить компьютер в случае такого фишингового письма и документа приманки, которые актуальны для пользователя, иными словами, пользователь не должен быть удивлен получая их. Таким образом, анализ таких фальшивых документов может раскрыть информацию о предполагаемых целях этих кибератак.

Мы обнаружили, что в каждом образце вредоносного ПО Прикормки, присутствует интересный артефакт, который представляет идентификатор кампании (Campaign ID). Идентификаторы представляют из себя уникальные текстовые строки, использующиеся для идентификации определенных случаев заражений или попыток заражений со стороны операторов. Комбинации букв и цифр в них могут раскрыть информацию о намеченных атакующими целях.

Нам удалось выявить более 80 различных идентификаторов кампаний и даже большее количество документов приманок, которые связаны с ними. Было обнаружено, что, как правило, один идентификатор используется против одной цели кибератаки, которая может представлять из себя пользователя, организацию или группу лиц. Это означает, что один и тот же экземпляр кампании может быть обнаружен на нескольких компьютерах. Список идентификаторов вредоносных кампаний, а также даты компиляции исполняемых файлов, можно найти в конце анализа.

Стоит отметить, что в некоторых случаях трудно определить потенциальную жертву вредоносной программы, особенно когда заражения Прикормкой были обнаружены уже на этапе его активности в системе. Однако, нам стали известны некоторые ситуации заражения Прикормкой компьютерных сетей, относящихся к стратегическим целям, включая, украинское правительство. Прочие примечательные цели Прикормки будут упомянуты далее.

Кампании против ополченцев

Среди основных целей Прикормки были представители ополченцев на востоке Украины. Начиная с 2014 г. этот регион был вовлечен в вооруженный военный конфликт.

В апреле 2014 г. группа людей в одностороннем порядке провозгласила независимость двух регионов на востоке Украины: Донецка и Луганска. В ответ на это, украинское правительство классифицировало эти образования как террористические организации и, поэтому, территория этих регионов была объявлена зоной антитеррористической операции (АТО). 11-го мая 2014 г. власти этих самопровозглашенных республик провели референдум по отделению от Украины, стремясь узаконить создание республик.

Значительное число фальшивых документов (приманок), которые были использованы в кибератаках Прикормки, использовали различные темы, связанные с самопровозглашенными Донецкой и Луганской народными республиками (ДНР и ЛНР). Кроме этого, часть таких документов содержат личные данные членов ополчения и данные внутренней работы ДНР и ЛНР. Этот факт приводит нас к мысли о том, что операторы намеренно ориентировали свои кибератаки на представителей этих республик. Эти предположения подтверждаются нашей системой телеметрии ESET LiveGrid: в Донецкой и Луганской областях Прикормка получила наибольшее распространение, среди прочих регионов Украины.

Атакующие использовали методы социальной инженерии для того, чтобы убедить пользователя открыть вредоносное вложение. Для этого использовались специальные провокационные или привлекательные названия вредоносных файлов вложений. Ниже приведены несколько примеров таких имен файлов.

  • Нацгвардейцы со шприцами сделали из донецкого мальчика мишень для ракет.exe. Дата компиляции файла: 5 ноября 2014 г.
  • Последнее обращение командира бригады 'Призрак' Мозгового Алексея Борисовича к солдатам и офицерам ДНР и ЛНР.scr. Дата компиляции: 24 мая 2015 г.
  • Места дислокации ВСУ в зоне проведения АТО.scr. Дата компиляции: 15 декабря 2015 г.

Ниже представлены примеры фальшивых документов приманок, которые использовались в кибератаках на представителей ополчения в Луганской и Донецкой областях.

В качестве первого примера можно взять исполняемый файл с названием СПРАВОЧНИК по МИНИСТЕРСТВАМ обновленный.exe, который сбрасывает на диск фальшивый документ со списком министерств самопровозглашенной республики. Идентификатор кампании для этого файла был D_xxx.


Рис. 3. Фальшивый документ со списком министерств ДНР. (На этом и последующих изображениях, потенциально конфиденциальные данные были нами отредактированы.)

Ниже приведен еще один пример фальшивого документа, который сбрасывается исполняемым файлом с названием материалы к зачету по законодательству.exe. Этот исполняемый файл копирует на диск несколько документов, включая, временную конституцию ЛНР и другие документы. Идентификатор кампании в этом случае соответствует L_ment; слово «ment» является сленгом для полицейского. Таким образом, злоумышленники демонстрируют глубокие знания русского языка.


Рис. 4. Фальшивый документ с законом, который описывает правила расследования преступлений.

Некоторые фальшивые документы используют тему Минских соглашений. Ниже приведен пример такого документа, который содержится в дроппере вредоносной программы с названием Схема демилитаризованной зоны в районе Шиокино.exe. В этом случае идентификатор кампании соответствует Lminfin.


Рис. 5. Фальшивый документ, который использует тему Минских соглашений.

Другой документ приманка даже содержит карту т. н. буферной зоны, которая была установлена в соответствии с Минским Протоколом. Ниже представлен пример документа, который находился в дроппере Прикормки с названием Отвод с 4 участками по сост на 14.08.exe. Идентификатор кампании в данном случае соответствует значению BUR.


Рис. 6. Фальшивый документ с картой буферной зоны.

Важное замечание: большинство исполняемых файлов Прикормки, которые предназначались для использования против ополченцев использовали идентификаторы кампаний, которые начинались с букв D или L. Вполне возможно, что речь идет о ДНР и ЛНР соответственно. Также мы обнаружили исполняемый файл с названием Заявление Эдуарда Басаргина 13 октября 2015 года в 15 часов.exe, который использует идентификатор кампании RF_lgm. Так как мы фиксировали его обнаружение в России, префикс RF может означать Российская Федерация.

Кампания против украинской националистической политической партии

Все предыдущие, указанные нами, фальшивые документы были извлечены из исполняемых файлов, которые имели названия на русском языке. В то время как украинский является официальным языком для Украины, население на востоке Украины, как правило, использует русский язык в противоположность западным регионам, где говорят на украинском.

Некоторые исполняемые файлы Прикормки имели названия на украинском. Например, мы наблюдали название файла План ДНР на 21 липня, щодо відводу військ.exe (план ДНР на 21 июля по отводу войск). Название файла свидетельствует о том, что вредоносное вложение сообщение предназначалось для жертвы, которая преимущественно использует украинский язык. Это предположение подтверждает и тот факт, что вредоносные файлы Прикормки обнаруживались в западных регионах Украины.

Идентификатор кампании для этого исполняемого файла соответствовал значению Psek, что указывает на известную националистическую партию «Правый сектор», которая должна была стать жертвой кибератаки.


Рис. 8. Фальшивый документ, который использовался в кибератаке на членов Правого сектора.

Другие кампании

Представители ополчения в Донецке и Луганске не были единственными основными целями Прикормки. Мы обнаружили и другие вредоносные кампании с интересными фальшивыми документами, но мы не смогли определить предполагаемых жертв только на основе этих документов.

Ниже представлен пример такого фальшивого документа, который, возможно, использовался в кибератаке против религиозной организации. Документ содержался в дроппере с названием Новое слово жизни.exe Идентификатор кампании соответствовал значению medium. Это значение может иметь отношение к следующему понятию.


Рис. 9. Фальшивый документ, который использовался в кибератаке на религиозные организации.

Еще одна вредоносная кампания была обнаружена в марте 2016 г. На этот раз название файла было на венгерском: Oneletrajz fizikai munka 2.pdf.scr, что переводится как «CV физическая работа». Фальшивый документ, который содержался в этом дроппере, представлял из себя резюме (CV) работника на венгерском. Указанный вредоносный .SCR файл представлял из себя архив, внутри которого содержалось два документа: резюме того же человека на украинском, а также сертификат на венгерском, который подтверждает данные резюме. На основе этой информации сложно сказать на кого именно была направлена кибератака, однако, понятно, что предполагаемая жертва должна была обладать знаниями венгерского и украинского языков. Идентификатор кампании был равен значению F_ego.


Рис. 10. Документ на венгерском, который использовался в упоминаемой выше кампании Прикормки.

Ниже представлен еще один документ, который сбрасывался на диск дроппером с названием bitcoin.exe. В этом случае идентификатор кампании соответствовал значению hmod.


Рис. 11. Фальшивый документ, который объясняет механизм совершения мошенничества с банковскими картами.

Текст на русском языке в документе приманке выше детально объясняет процесс покупки биткоинов с использованием украденных данных банковских карт. В тексте используется сленг, который часто используют русскоязычные кардеры.

Еще один таинственный документ приманки сбыл извлечен из дроппера Прикормки с названием prikormka.exe. Идентификатор кампании — 30K_alfa.


Рис. 12. Таинственный документ приманка, который содержится в дроппере с названием файла prikormka.exe.

Приведенный выше документ содержит информацию о расценках в украинском магазине, который продает различные типы прикормки.

Общая схема заражения

Ниже на схеме представлен общий процесс работы Прикормки.


Рис. Общая схема работы Прикормки и ее архитектура.

Во второй части мы сосредоточимся на технической части работы вредоносных файлов Прикормки.
Поделиться с друзьями
-->

Комментарии (42)


  1. esc
    19.05.2016 13:28
    +3

    И тут достанете своей политотой.


  1. stalkerxxl
    19.05.2016 15:22
    +4

    Только не будем начинать срач «в» или «на» Украине…


    1. imrunner
      19.05.2016 16:21
      +4

      … сказал stalkerxxl, доставая попкорн.


  1. BaDP1nG
    19.05.2016 15:32
    +7

    L_ment; слово «ment» является сленгом для полицейского. Таким образом, злоумышленники демонстрируют глубокие знания русского языка.

    Серьезно?! А если бы использовали слово «fuck», то считалось ли это бы демонстрацией глубоких знаний английского? =)


    1. valemak
      19.05.2016 16:42
      +2

      А вот если бы там было не ment, а cop, то это бы свидетельствовало о глубоких знаниях английского языка, точнее его американского варианта. Но, ничего подобного не обнаружено, так что АНБ, ЦРУ и Госдеп тут, по всей видимости, непричастны :)


      1. BaDP1nG
        19.05.2016 17:35
        +1

        Раз не ЦРУ и не Госдеп, то точно «Лично Путин». =)))


        1. valemak
          19.05.2016 17:49
          +1

          Обратите внимание, какую многоходовочку представляет из себя «Общая схема заражения» :)


          1. BaDP1nG
            19.05.2016 17:58
            +1

            Переиграл, переиграл! =)


  1. Mancubus
    19.05.2016 15:40
    +11

    «Ополченцев», значит. Это официальное определение компании Eset?


    1. NeonXP
      19.05.2016 16:23
      -10

      А что не так?


      1. darthandrew
        19.05.2016 17:05
        +13

        Обычно ополчением называют людей, которые идут на защиту во время войны с внешним врагом. Вся противность применения этого термина в том, что воюют они с Украиной, эти «ополченцы», а внешний враг отлично ими руководит. Правильное определение — «предатели и террористы», «сепаратисты».


        1. NeonXP
          19.05.2016 17:34
          -19

          Обычно ополчением называют людей, которые идут на защиту во время войны с внешним врагом.

          С точки зрения ЛНР и ДНР — Киевские войска внешний враг.

          а внешний враг отлично ими руководит

          Это кто? Этому внешнему врагу объявлена официально война?

          Правильное определение — «предатели и террористы», «сепаратисты».

          Почему «правильное»? Кто определяет правильность? Украинское правительство? Ну так ESET не украинская компания, чтобы следовать навязанным украинским правительством ярлыкам.


      1. FeNUMe
        19.05.2016 23:29
        +5

        Есть такое слово — сепаратисты, оно точно описывает цели группы людей и не несет дополнительной оценки их действий, в отличии от террористы/ополченцы. В официальных статьях коммерческой компании разумнее было бы использовать его.


    1. creage
      19.05.2016 23:36
      +5

      Да не, это тут, набрасывают просто. В англоязычной версии все в порядке — сепаратисты, самопровозглашенные, вот это всё. Там ссут, видать, резать «правду-матку».


  1. Tbird
    19.05.2016 17:03
    -1

    пользователи в Донецких и Луганских народных республиках


    Это где?


    1. valemak
      19.05.2016 17:18
      -4

      Автор написал же: на юго-востоке Украины.


      1. Tbird
        19.05.2016 18:02
        +6

        Не знаю, я с Луганской области и из других стран, мы граничим только с Российской Федерацией


        1. valemak
          19.05.2016 18:06
          +1

          Сам-то я большую часть жизни прожил на Донбассе (покинул его в 2014 году). Сроду Донецк и Луганск югом не считались. Это просто восток Украины, без юго-. Поэтому я и выделил жирным шрифтом некорректную часть.


        1. Mutineer
          19.05.2016 18:08
          +6

          Наверно потому что Луганская область на востоке Украины, а автор говорит о чем-то непонятном на юго-востоке))


  1. Mutineer
    19.05.2016 17:21
    +10

    Когда будет сообщение что блог компании взломали?


  1. tangro
    19.05.2016 18:22
    +10

    Статья может и содержит кой-какие технические нюансы, но вот все выводы и высказывания «от себя» в ней полный бред.

    "для слежения за пользователями на Украине и отделившихся от нее территорий (Луганской и Донецкой народных республик)" — это высказывание, например, некорректно и по законам России и по законам Украины.


    1. hellroy
      20.05.2016 11:14

      Да и «технические ньансы» максимум на geektimes тянут


  1. verydima
    19.05.2016 18:23
    +7

    ESET удивилась общественному резонансу с Авиасейлс и подумала «а почему бы нам тоже не сделать где-то холиварчик». И решили запилить статью, полную политических выводов на хабре!


  1. stalkerxxl
    19.05.2016 18:36
    +3

    ESET, телефон магазинчика подкиньте… Прикормка заканчивается… =)


  1. stahh
    19.05.2016 18:58
    +4

    Примитивные трояны с измененной иконкой, социнженерия… Простите о чем статья? Я такие поделки пачками каждый день получаю, и из Африки, и из Мексики, и из Китая. Или здесь особая ценность — ЛНР-ДНР? Так вам не на хабр, а на политоту надо.


  1. valemak
    19.05.2016 19:03
    +2

    Спасибо за увлекательнейшую статью, лично я с нетерпением жду продолжения.

    Жаль, не про всё очень интересное поведали.

    1. Почему-то ни разу не упомянули про Крым. Учитывая направление атак, полуостров также должен был подвергнуться массированному нападению со стороны хакерской группы, действующей с территории Украины.

    2. Также интересны регионы и группы в России, на которые пришлось более 10% атак.

    3. Да и про Бельгию не рассказали. Неужто штаб-квартире НАТО и европарламенту тоже досталось?


    1. Alken
      19.05.2016 19:44
      +6

      Им нельзя упоминать Крым, так как они не имеют права там работать, тут же влетят под санкции.


  1. Barafu
    19.05.2016 19:36
    +1

    Сколько ещё лет нужно M$ чтобы скопировать с других операционок фичу, когда при щелчке по экзешнику всплывает сообщение «Друх, это экзешник. Друх, а ты уверен? Ты где его взял, друх?» Лет ещё за 10 они смогут это накодить? Если да, то пускай начинают — достойное вложение 10 лет труда будет.
    Какая-то такая фигня в семёрке иногда всплывала, но не всегда, что умножает её полезность на ноль.


    1. Klotos
      19.05.2016 23:32
      +1

      Эта штука появилась впервые в Win Vista, называется UAC. Беда юзеров в том, что они эту фичу массово отключают, дабы «не мешала».


    1. Crazybot
      19.05.2016 23:55
      +1

      Уже много лет на все скачаные из интернета файлы Windows именно так и реагирует.
      Зачатки подобной системы были еще в ХР, но там она не особо помогала.


    1. Delpix
      20.05.2016 00:14
      +1

      Вообще-то всегда, если источник приложения неизвестен.


      1. Barafu
        20.05.2016 00:53
        +1

        Не верю. Скомпилил софтину, запустил — работает. Win 10 прям узнала Glasgo compiler или что? UAC вылезает, если софтина лезет, куда не надо, или скачана браузером из известных системе, или по другим правилам, но не всегда. Иначе не было бы сейчас рассылок «Вам квитанция.doc.scr», вообще бы не было. Большинство людей не отключает UAC, они и слов-то таких не знают.


  1. scamp
    19.05.2016 23:33
    +6

    На всякий случай оставлю англоязычный оригинал статьи.
    http://www.welivesecurity.com/2016/05/18/groundbait/
    И да, там прямым текстом упомянуты сепаратисты из самопровозглашенных «республик». Не знал, что в переводе на русский «сепаратисты» это «ополченцы».


    1. valemak
      20.05.2016 08:05
      +2

      А также указывается точная локация конфликта: eastern Ukraine. По мнению автора статьи это переводится как юго-восток Украины.


  1. BubaVV
    20.05.2016 00:47
    +10

    image


    1. slayerhabr
      20.05.2016 03:36
      +4

      И вообще — наших представителей в офисах ESET нет


    1. tangro
      20.05.2016 11:13

      Прикольно — кто-то от имени компании ESET платит Хабру за блог, пишет в нём статьи, компроментирующие компанию — и всем (Хабру, Есету) на это плевать. Ну ок.


      1. BubaVV
        20.05.2016 11:19

        Есетовская блоггерская республика


    1. stalkerxxl
      20.05.2016 11:38

      Что-то в стиле «Нашего антивируса на ПК ополченцев нет… он был удален оттуда месяц назад =))»


  1. tangro
    20.05.2016 11:16
    +2

    А вот кстати и позиция европейского офиса ESET по данному шедевру российского представительства:

    «First of all, thank you for making us aware of this and your feedback.

    ESET is EU-based company and adheres in language and business to geographical matters as set by the EU — meaning that it mentions Ukraine in recognized borders with mentioning the Eastern regions as self-declared separatist regions in all the published original materials. Original ESET HQ materials are posted on WeLiveSecurity.com andESET.com.

    ESET Russia is operated by partner company in the local Russian market. The translation of research papers into the many local languages is impossible to be reviewed by ESET centrally. Partner company in Ukraine operates for the whole internationally recognized territory of Ukraine: as recognized by the United Nations and the European Union.

    ESET is not involved in any political matters, in no position of country recognition and adheres to the rules as set by the European Union and international community represented by the United Nations in both: its published materials and business.

    We are reaching out to our Russian partner to adjust all the Russian-language materials under ESET name accordingly.

    Thank you,

    Branislav

    Branislav Ondrasik
    Public Relations Manager EMEA»


  1. sashaeve
    20.05.2016 11:51
    +1

    В свое время админы хабра банили за обычную внешнюю ссылку. А тут такой откровенный вброс висит и никто не реагирует. Корпоративный блог все таки. Ну а коменты порадовали, спасибо.


  1. Dr_Zoidberg
    20.05.2016 12:16

    Кто бы там не вес блог Eset здесь, вы сливаете карму компанию. Удаляйте нафиг