22.02.2017 08:54
alizar 21 15600 Источник


Специалисты по информационной безопасности из компании CyberX раскрыли детали крупной разведывательной операции, которую неизвестные лица целенаправленно вели на территории Украины. Операция подразумевала установку зловреда на компьютеры жертв и запись разговоров через микрофоны на ПК. Если веб-камеру обычно заклеивают изолентой, то блокировать встроенный микрофон на ПК практически невозможно.

Технический анализ показал высокую квалификацию хакеров. Сложность зловредов и отличная координация атаки указывает на то, что за злоумышленниками стоит мощная организация со значительными ресурсами. Ежедневно с компьютеров жертв скачивалось несколько гигабайт аудиозаписей. Для обработки такого массива данных требуется работа многочисленных сотрудников.

Аудиозаписи копировались на Dropbox, вместе с другими конфиденциальными документами, скриншотами, паролями от веб-сервисов. Поэтому CyberX назвала эту операцию BugDrop.

Жертвами прослушки стали как минимум 70 человек их разных сфер деятельности, в том числе управления критической инфраструктурой, СМИ, научных исследований. Большинство жертв находились на Украине (многие в Донецке и Луганске), несколько человек в России, Саудовской Аравии и Австрии.

Вот примеры нескольких мишеней прослушки:

  • Компания-разработчик удалённых систем мониторинга для нефте- и газопроводов.
  • Международная организация, которая отслеживает нарушения прав человека, занимается борьбой с терроризмом и расследует кибератаки на критическую инфраструктуру Украины (например, взлом электрической сети «Прикарпатьеоблэнерго» в декабре 2015 года — атака типа BlackEnergy).
  • Инженерная компания, которая проектирует электрические подстанции, газовые трубопроводы, сооружения и технические средства водоснабжения.
  • Научно-исследовательский институт.
  • Редакторы украинских газет.

Специалисты CyberX отмечают некоторое сходство операции BugDrop с другой разведывательной операцией Groundbait, которую выявила компания ESET в мае 2016 года. Сходство есть в тактике, технике и процедурах, которые применялись хакерами. Тем не менее, операция BugDrop организована гораздо более хитроумно с применением более сложных техник и процедур. В частности, обращает на себя внимание применение DLL-инъекции с отражением (Reflective DLL Injection) — продвинутой техники атаки, которая использовалась также во время атаки BlackEnergy на украинскую электрическую сеть, а также применялась спецслужбами США и Израиля в программном обеспечении Stuxnet при атаке на иранские центрифуги по обогащению урана.

DLL-инъекция с отражением позволяет загрузить вредоносный код без обращения к обычным Windows API. В данном случае эта техника применялась для загрузки в память зашифрованных (обфусцированных) DLL, которые из-за применения обфускации не поддаются анализу большинством обычных антивирусов и системами песочниц.

Для сбора данных и управления троянами хакеры использовали общедоступные инфраструктуру — бесплатный хостинг.

Первоначальное заражение целей осуществлялось путём рассылки таргетированного личного письма каждой жертве. К письму прилагался документ Microsoft Office с вредоносным макросом. Хакеры применяли тактику социальной инженерии, чтобы убедить жертв включить макросы в Microsoft Office (см. скриншот).



Сам вордовский документ содержал список военнослужащих с личными данными, такими как дата рождения и адрес.



В вордовском документе срабатывал скрипт VB, который извлекал основной загрузчик во временную папку. Загрузчик определяли только 4 из 54 протестированных антивирусов. Интересно, что пиктограмма для файла EXE с загрузчиком была взята с русскоязычного форума — это мем с шуткой над украинцами.



Источник пиктограммы:



В ресурсах дроппера находились в DLL, обработанные XOR таким образом, что текущий байт XOR'ится с предыдущим — это гораздо более эффективная техника обфускации, чем обычный XOR.

Библиотеки извлекались во временную папку и внедрялись в память методом Reflective DLL Injection, а сами библиотеки прописывались в реестр Windows.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\drvpath
RUNDLL32 “%USERPROFILE%\AppData\Roaming\Microsoft\VSA\klnihw22.nlp”, RUNNER

Одна из библиотек затем скачивала основной модуль программы с бесплатного хостинга по следующему адресу: windows-problem-reporting.site88.net (внимание: по этому адресу может распространяться вредоносное ПО, так что не заходите на него с рабочего компьютера).

Судя по всему, для инициации передачи основного модуля требовалось подтверждение вручную со стороны оператора.

Основной модуль скачивал различные плагины для разных методов прослушки и сбора данных на компьютере (плагины для поиска файлов на диске и USB-накопителях, сбора паролей и других данных из браузера, записи звука через микрофон, сбора информации о ПК). Программа проверяла безопасность работы — отсутствие виртуальной среды, отсутствие Wireshark и т.д., а затем тоже прописывалась в реестр:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hlpAsist
RUNDLL32 “%USERPROFILE%\AppData\Roaming\Microsoft\MSDN\iodonk18.dll”, IDLE

Для каждой жертвы применялся индивидуальный набор плагинов.

Собранные данные программа отправляла на Dropbox по аккаунту со следующими учётными данными:

Имя: P*****
Адрес: P********@mail.ru

Перед отправкой на Dropbox файлы обрабатывались шифром Blowfish. В качестве ключа шифрования использовался ID конкретного компьютера.

Компания CyberX опубликовала хэши SHA-256 для файлов, которые использовались в операции BugDrop.

Документ-приманка с фамилиями военнослужащих
997841515222dbfa65d1aea79e9e6a89a0142819eaeec3467c31fa169e57076a

Дроппер
f778ca5942d3b762367be1fd85cf7add557d26794fad187c4511b3318aff5cfd

Плагины
Сбор скриншотов:
7d97008b00756905195e9fc008bee7c1b398a940e00b0bd4c56920c875f28bfe
dc21527bd925a7dc95b84167c162747069feb2f4e2c1645661a27e63dff8c326
7e4b2edf01e577599d3a2022866512d7dd9d2da7846b8d3eb8cea7507fb6c92a

Кейлоггер:
fc391f843b265e60de2f44f108b34e64c358f8362507a8c6e2e4c8c689fcdf67
943daa88fe4b5930cc627f14bf422def6bab6d738a4cafd3196f71f1b7c72539
bbe8394eb3b752741df0b30e1d1487eeda7e94e0223055771311939d27d52f78
6c479da2e2cc296c18f21ddecc787562f600088bd37cc2154c467b0af2621937
01aab8341e1ef1a8305cf458db714a0392016432c192332e1cd9f7479507027f

Сборщик файлов
06dcf3dc4eab45c7bd5794aafe4d3f72bb75bcfb36bdbf2ba010a5d108b096dc
daf7d349b1b12d9cf2014384a70d5826ca3be6d05df13f7cb1af5b5f5db68d54
24f56ba4d779b913fefed80127e9243303307728ebec85bdb5a61adc50df9eb6
a65e79bdf971631d2097b18e43af9c25f007ae9c5baaa9bda1c470af20e1347c

Сборщик файлов с USB:
a47e6fab82ac654332f4e56efcc514cb2b45c5a126b9ffcd2c84a842fb0283a2
07c25eebdbd16f176d0907e656224d6a4091eb000419823f989b387b407bfd29
3c0f18157f30414bcfed7a138066bc25ef44a24c5f1e56abb0e2ab5617a91000

Сбор данных из браузера:
fb836d9897f3e8b1a59ebc00f59486f4c7aec526a9e83b171fd3e8657aadd1a1
966804ac9bc376bede3e1432e5800dd2188decd22c358e6f913fbaaaa5a6114d
296c738805040b5b02eae3cc2b114c27b4fb73fa58bc877b12927492c038e27c
61244d5f47bb442a32c99c9370b53ff9fc2ecb200494c144e8b55069bc2fa166
cae95953c7c4c8219325074addc9432dee640023d18fa08341bf209a42352d7d
a0400125d98f63feecac6cb4c47ed2e0027bd89c111981ea702f767a6ce2ef75

Микрофон:
1f5e663882fa6c96eb6aa952b6fa45542c2151d6a9191c1d5d1deb9e814e5a50
912d54589b28ee822c0442b664b2a9f05055ea445c0ec28f3352b227dc6aa2db
691afe0547bd0ab6c955a8ec93febecc298e78342f78b3dd1c8242948c051de6

Сбор информации о компьютере:
c9bf4443135c080fb81ab79910c9cfb2d36d1027c7bf3e29ee2b194168a463a7
5383e18c66271b210f93bee8cc145b823786637b2b8660bb32475dbe600be46e
d96e5a74da7f9b204f3dfad6d33d2ab29f860f77f5348487f4ef5276f4262311
Поделиться с друзьями
-->

Комментарии (21)


  1. Anarions
    22.02.2017 12:18
    #9904188
    +10

    Читая про то что для заражения системы необходимо включить макросы вспомнилась картинка

    Албанский вирус
    image


    1. lieff
      22.02.2017 13:03
      #9904322

      Вот тут в качестве все еще необходимости MSO указывают на такие VBA апи как PowerPivot. Если реально присылают такие документы — VBA придется включить, а это практически гарантированная дыра.


    1. LazyCrazy
      22.02.2017 15:51
      #9904864

      Таблицы для ЕИАС, которые заполняют муниципалитеты и энергопоставляющие компании, мало того, что заточены под MsExcel определённых версий, так ещё требуют включенных макросов и доступа в интернет без ограничений, поскольку докачивают справочники со своих сайтов.


      1. LazyCrazy
        22.02.2017 15:56
        #9904878

        Системные и технические требования для работы в системе ФГИС ЕИАС:

        Для корректной работы модуля «ЕИАС Мониторинг» (АРМ Специалиста) необходимо соответствие системы следующим аппаратным и программным требованиям:

        Наличие прямого доступа в интернет (корректная работа через прокси-серверы не гарантирована и обеспечивается специалистами Вашей организации);
        Наличие на компьютере постоянного выхода в интернет, в том числе, на момент установки программного обеспечения и на момент отправки электронных документов;

        Интернет-канал с пропускной способностью не менее 64КБит/с;

        MS Windows XP SP3, Vista (ограниченно), 7, 8, 8.1, 10 (русская локализация);

        MS Office 2003 SP3, 2007 или 2010 (для работы с отчетными формами);

        Microsoft .NET Framework 4;

        СКЗИ КриптоПро CSP 3.6 и выше с активированной лицензией;

        Установленная электронная подпись для локального пользователя ПК;

        Права администратора.


        1. SchmeL
          22.02.2017 16:20
          #9904982
          +2

          блин, думал от такого только недавно избавились окончательно, но видимо нет.
          рука-лицо.jpg


          1. d-stream
            23.02.2017 12:34
            #9906736

            Этим страдают не только они… (


          1. LazyCrazy
            23.02.2017 18:29
            #9907554

            И это ещё не весь маразм в этой системе.
            Авторизация в программе по имени/паролю, при этом данные тянутся с двух серверов — федерального и областного. И да, авторизация на них отдельная, но в программе только в одном месте есть ввод имени и пароля. При любых изменениях (допустим, смены руководителя) необходимо (не из программы, а в браузере) отдельно зайти на федеральный портал и отдельно — областной и внести идентичные изменения, поскольку между этими порталами никакой синхронизации нет.
            Упомянутая электронная подпись практически никакой роли не играет (про авторизацию я уже упоминал).
            И да, в вышеприведённых «требованиях» опечатка — MsExcel должен быть не ниже 2007.

            Чисто теоретически: если вдруг на территории страны буден образован новый муниципалитет, то он не сможет вести общение с вышестоящими органами (а в этом и состоит ~70% работы муниципалитета) по большинству автоматизированных систем, поскольку с 2016/01/01 не может легально приобрести ПО, не внесённое в реестр.


  1. NikiN
    22.02.2017 12:22
    #9904202
    +3

    Какие-то нарочитые следы #russiansdidit
    Молодой демократии дали Фреймворк?


    1. NoRegrets
      22.02.2017 23:33
      #9905944
      -1

      Да, экзешник назывался, наверное, kgb.exe.


  1. mariarty
    22.02.2017 12:25
    #9904208

    люблю реальные истории про хакеров, очень захватывает


  1. FernandoAlfonso
    22.02.2017 13:03
    #9904320
    +5

    Надо было или не касаться технических подробностей, или избегать пассажей типа высокая квалификация хакеров или мощная организация со значительными ресурсами)
    Чёрт побери, не будь атака такой примитивной, я бы даже не поверил в её реальность.


  1. aquamakc
    22.02.2017 13:06
    #9904340

    Виновный найден
    image


    1. Wan-Derer
      22.02.2017 17:06
      #9905134
      +3

      Маршируют не в ту сторону, поэтому фэйк :)


  1. ilyaplot
    22.02.2017 13:44
    #9904474
    +1

    Мощной организацией со значительными ресурсами, скорее всего, является заказчик, а не исполнитель.


  1. dvsx86
    22.02.2017 14:12
    #9904564
    +2

    Интересно, что пиктограмма для файла EXE с загрузчиком была взята с русскоязычного форума — это мем с шуткой над украинцами.

    speech.sarcasm(«это сверхважная информация, нам нужно больше подробностей! кто его нарисовал, кто первый запостил, рейтинг этих людей на этом замечательном форуме! как же вы такое пропустили, в самом деле?»)


    1. Anarions
      22.02.2017 15:59
      #9904892
      +3

      По такой шуточной штуке спалили довольно крупного хакера же. Недавно была статья на GT


  1. iShatokhin
    22.02.2017 17:20
    #9905174

    Еще одно интересное расследование, как «русские хакеры» атаковали польские банки.


  1. Equin0x
    22.02.2017 19:51
    #9905572
    +2

    Пойду выпаивать микрофон с платы ноута. Нечего слушать, как я кота ругаю.


  1. quadroD
    22.02.2017 19:53
    #9905576

    Загрузчик определяли только 4 из 54 протестированных антивирусов.


    Так CyberX еще антивирусы этим тестировали. Интересно, что это за четыре антивируса…


    1. express
      23.02.2017 08:08
      #9906326

      На вирустотал отправили, наверное.


  1. teecat
    27.02.2017 11:40
    #9913036

    Дано:
    — большинство заражений на Украине, несколько человек в России, Саудовской Аравии и Австрии.
    — на Украине заражения по обе стороны линии фронта (если можно так сказать)
    — совершенно случайный набор зараженных по сфере деятельности
    — ничего не сказано про должности зараженных. Кто они? Секретари, бухгалтера, менеджеры по продажам, руководство?

    Ну не вяжется столь беспорядочные заражения с разведкой. Все же разведка должна быть направлена на конкретный регион/тип деятельности/людей, обладающих знаниями(а в данном случае еще и постоянно говорящих на тему секретной информации).