Специалисты по информационной безопасности из компании CyberX раскрыли детали крупной разведывательной операции, которую неизвестные лица целенаправленно вели на территории Украины. Операция подразумевала установку зловреда на компьютеры жертв и запись разговоров через микрофоны на ПК. Если веб-камеру обычно заклеивают изолентой, то блокировать встроенный микрофон на ПК практически невозможно.

Технический анализ показал высокую квалификацию хакеров. Сложность зловредов и отличная координация атаки указывает на то, что за злоумышленниками стоит мощная организация со значительными ресурсами. Ежедневно с компьютеров жертв скачивалось несколько гигабайт аудиозаписей. Для обработки такого массива данных требуется работа многочисленных сотрудников.

Аудиозаписи копировались на Dropbox, вместе с другими конфиденциальными документами, скриншотами, паролями от веб-сервисов. Поэтому CyberX назвала эту операцию BugDrop.

Жертвами прослушки стали как минимум 70 человек их разных сфер деятельности, в том числе управления критической инфраструктурой, СМИ, научных исследований. Большинство жертв находились на Украине (многие в Донецке и Луганске), несколько человек в России, Саудовской Аравии и Австрии.

Вот примеры нескольких мишеней прослушки:

  • Компания-разработчик удалённых систем мониторинга для нефте- и газопроводов.
  • Международная организация, которая отслеживает нарушения прав человека, занимается борьбой с терроризмом и расследует кибератаки на критическую инфраструктуру Украины (например, взлом электрической сети «Прикарпатьеоблэнерго» в декабре 2015 года — атака типа BlackEnergy).
  • Инженерная компания, которая проектирует электрические подстанции, газовые трубопроводы, сооружения и технические средства водоснабжения.
  • Научно-исследовательский институт.
  • Редакторы украинских газет.

Специалисты CyberX отмечают некоторое сходство операции BugDrop с другой разведывательной операцией Groundbait, которую выявила компания ESET в мае 2016 года. Сходство есть в тактике, технике и процедурах, которые применялись хакерами. Тем не менее, операция BugDrop организована гораздо более хитроумно с применением более сложных техник и процедур. В частности, обращает на себя внимание применение DLL-инъекции с отражением (Reflective DLL Injection) — продвинутой техники атаки, которая использовалась также во время атаки BlackEnergy на украинскую электрическую сеть, а также применялась спецслужбами США и Израиля в программном обеспечении Stuxnet при атаке на иранские центрифуги по обогащению урана.

DLL-инъекция с отражением позволяет загрузить вредоносный код без обращения к обычным Windows API. В данном случае эта техника применялась для загрузки в память зашифрованных (обфусцированных) DLL, которые из-за применения обфускации не поддаются анализу большинством обычных антивирусов и системами песочниц.

Для сбора данных и управления троянами хакеры использовали общедоступные инфраструктуру — бесплатный хостинг.

Первоначальное заражение целей осуществлялось путём рассылки таргетированного личного письма каждой жертве. К письму прилагался документ Microsoft Office с вредоносным макросом. Хакеры применяли тактику социальной инженерии, чтобы убедить жертв включить макросы в Microsoft Office (см. скриншот).



Сам вордовский документ содержал список военнослужащих с личными данными, такими как дата рождения и адрес.



В вордовском документе срабатывал скрипт VB, который извлекал основной загрузчик во временную папку. Загрузчик определяли только 4 из 54 протестированных антивирусов. Интересно, что пиктограмма для файла EXE с загрузчиком была взята с русскоязычного форума — это мем с шуткой над украинцами.



Источник пиктограммы:



В ресурсах дроппера находились в DLL, обработанные XOR таким образом, что текущий байт XOR'ится с предыдущим — это гораздо более эффективная техника обфускации, чем обычный XOR.

Библиотеки извлекались во временную папку и внедрялись в память методом Reflective DLL Injection, а сами библиотеки прописывались в реестр Windows.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\drvpath
RUNDLL32 “%USERPROFILE%\AppData\Roaming\Microsoft\VSA\klnihw22.nlp”, RUNNER


Одна из библиотек затем скачивала основной модуль программы с бесплатного хостинга по следующему адресу: windows-problem-reporting.site88.net (внимание: по этому адресу может распространяться вредоносное ПО, так что не заходите на него с рабочего компьютера).

Судя по всему, для инициации передачи основного модуля требовалось подтверждение вручную со стороны оператора.

Основной модуль скачивал различные плагины для разных методов прослушки и сбора данных на компьютере (плагины для поиска файлов на диске и USB-накопителях, сбора паролей и других данных из браузера, записи звука через микрофон, сбора информации о ПК). Программа проверяла безопасность работы — отсутствие виртуальной среды, отсутствие Wireshark и т.д., а затем тоже прописывалась в реестр:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hlpAsist
RUNDLL32 “%USERPROFILE%\AppData\Roaming\Microsoft\MSDN\iodonk18.dll”, IDLE


Для каждой жертвы применялся индивидуальный набор плагинов.

Собранные данные программа отправляла на Dropbox по аккаунту со следующими учётными данными:

Имя: P*****
Адрес: P********@mail.ru


Перед отправкой на Dropbox файлы обрабатывались шифром Blowfish. В качестве ключа шифрования использовался ID конкретного компьютера.

Компания CyberX опубликовала хэши SHA-256 для файлов, которые использовались в операции BugDrop.

Документ-приманка с фамилиями военнослужащих
997841515222dbfa65d1aea79e9e6a89a0142819eaeec3467c31fa169e57076a

Дроппер
f778ca5942d3b762367be1fd85cf7add557d26794fad187c4511b3318aff5cfd

Плагины
Сбор скриншотов:
7d97008b00756905195e9fc008bee7c1b398a940e00b0bd4c56920c875f28bfe
dc21527bd925a7dc95b84167c162747069feb2f4e2c1645661a27e63dff8c326
7e4b2edf01e577599d3a2022866512d7dd9d2da7846b8d3eb8cea7507fb6c92a


Кейлоггер:
fc391f843b265e60de2f44f108b34e64c358f8362507a8c6e2e4c8c689fcdf67
943daa88fe4b5930cc627f14bf422def6bab6d738a4cafd3196f71f1b7c72539
bbe8394eb3b752741df0b30e1d1487eeda7e94e0223055771311939d27d52f78
6c479da2e2cc296c18f21ddecc787562f600088bd37cc2154c467b0af2621937
01aab8341e1ef1a8305cf458db714a0392016432c192332e1cd9f7479507027f


Сборщик файлов
06dcf3dc4eab45c7bd5794aafe4d3f72bb75bcfb36bdbf2ba010a5d108b096dc
daf7d349b1b12d9cf2014384a70d5826ca3be6d05df13f7cb1af5b5f5db68d54
24f56ba4d779b913fefed80127e9243303307728ebec85bdb5a61adc50df9eb6
a65e79bdf971631d2097b18e43af9c25f007ae9c5baaa9bda1c470af20e1347c


Сборщик файлов с USB:
a47e6fab82ac654332f4e56efcc514cb2b45c5a126b9ffcd2c84a842fb0283a2
07c25eebdbd16f176d0907e656224d6a4091eb000419823f989b387b407bfd29
3c0f18157f30414bcfed7a138066bc25ef44a24c5f1e56abb0e2ab5617a91000


Сбор данных из браузера:
fb836d9897f3e8b1a59ebc00f59486f4c7aec526a9e83b171fd3e8657aadd1a1
966804ac9bc376bede3e1432e5800dd2188decd22c358e6f913fbaaaa5a6114d
296c738805040b5b02eae3cc2b114c27b4fb73fa58bc877b12927492c038e27c
61244d5f47bb442a32c99c9370b53ff9fc2ecb200494c144e8b55069bc2fa166
cae95953c7c4c8219325074addc9432dee640023d18fa08341bf209a42352d7d
a0400125d98f63feecac6cb4c47ed2e0027bd89c111981ea702f767a6ce2ef75


Микрофон:
1f5e663882fa6c96eb6aa952b6fa45542c2151d6a9191c1d5d1deb9e814e5a50
912d54589b28ee822c0442b664b2a9f05055ea445c0ec28f3352b227dc6aa2db
691afe0547bd0ab6c955a8ec93febecc298e78342f78b3dd1c8242948c051de6


Сбор информации о компьютере:
c9bf4443135c080fb81ab79910c9cfb2d36d1027c7bf3e29ee2b194168a463a7
5383e18c66271b210f93bee8cc145b823786637b2b8660bb32475dbe600be46e
d96e5a74da7f9b204f3dfad6d33d2ab29f860f77f5348487f4ef5276f4262311
Поделиться с друзьями
-->

Комментарии (21)


  1. Anarions
    22.02.2017 12:18
    +10

    Читая про то что для заражения системы необходимо включить макросы вспомнилась картинка

    Албанский вирус
    image


    1. lieff
      22.02.2017 13:03

      Вот тут в качестве все еще необходимости MSO указывают на такие VBA апи как PowerPivot. Если реально присылают такие документы — VBA придется включить, а это практически гарантированная дыра.


    1. LazyCrazy
      22.02.2017 15:51

      Таблицы для ЕИАС, которые заполняют муниципалитеты и энергопоставляющие компании, мало того, что заточены под MsExcel определённых версий, так ещё требуют включенных макросов и доступа в интернет без ограничений, поскольку докачивают справочники со своих сайтов.


      1. LazyCrazy
        22.02.2017 15:56

        Системные и технические требования для работы в системе ФГИС ЕИАС:

        Для корректной работы модуля «ЕИАС Мониторинг» (АРМ Специалиста) необходимо соответствие системы следующим аппаратным и программным требованиям:

        Наличие прямого доступа в интернет (корректная работа через прокси-серверы не гарантирована и обеспечивается специалистами Вашей организации);
        Наличие на компьютере постоянного выхода в интернет, в том числе, на момент установки программного обеспечения и на момент отправки электронных документов;

        Интернет-канал с пропускной способностью не менее 64КБит/с;

        MS Windows XP SP3, Vista (ограниченно), 7, 8, 8.1, 10 (русская локализация);

        MS Office 2003 SP3, 2007 или 2010 (для работы с отчетными формами);

        Microsoft .NET Framework 4;

        СКЗИ КриптоПро CSP 3.6 и выше с активированной лицензией;

        Установленная электронная подпись для локального пользователя ПК;

        Права администратора.


        1. SchmeL
          22.02.2017 16:20
          +2

          блин, думал от такого только недавно избавились окончательно, но видимо нет.
          рука-лицо.jpg


          1. d-stream
            23.02.2017 12:34

            Этим страдают не только они… (


          1. LazyCrazy
            23.02.2017 18:29

            И это ещё не весь маразм в этой системе.
            Авторизация в программе по имени/паролю, при этом данные тянутся с двух серверов — федерального и областного. И да, авторизация на них отдельная, но в программе только в одном месте есть ввод имени и пароля. При любых изменениях (допустим, смены руководителя) необходимо (не из программы, а в браузере) отдельно зайти на федеральный портал и отдельно — областной и внести идентичные изменения, поскольку между этими порталами никакой синхронизации нет.
            Упомянутая электронная подпись практически никакой роли не играет (про авторизацию я уже упоминал).
            И да, в вышеприведённых «требованиях» опечатка — MsExcel должен быть не ниже 2007.

            Чисто теоретически: если вдруг на территории страны буден образован новый муниципалитет, то он не сможет вести общение с вышестоящими органами (а в этом и состоит ~70% работы муниципалитета) по большинству автоматизированных систем, поскольку с 2016/01/01 не может легально приобрести ПО, не внесённое в реестр.


  1. NikiN
    22.02.2017 12:22
    +3

    Какие-то нарочитые следы #russiansdidit
    Молодой демократии дали Фреймворк?


    1. NoRegrets
      22.02.2017 23:33
      -1

      Да, экзешник назывался, наверное, kgb.exe.


  1. mariarty
    22.02.2017 12:25

    люблю реальные истории про хакеров, очень захватывает


  1. FernandoAlfonso
    22.02.2017 13:03
    +5

    Надо было или не касаться технических подробностей, или избегать пассажей типа высокая квалификация хакеров или мощная организация со значительными ресурсами)
    Чёрт побери, не будь атака такой примитивной, я бы даже не поверил в её реальность.


  1. aquamakc
    22.02.2017 13:06

    Виновный найден
    image


    1. Wan-Derer
      22.02.2017 17:06
      +3

      Маршируют не в ту сторону, поэтому фэйк :)


  1. ilyaplot
    22.02.2017 13:44
    +1

    Мощной организацией со значительными ресурсами, скорее всего, является заказчик, а не исполнитель.


  1. dvsx86
    22.02.2017 14:12
    +2

    Интересно, что пиктограмма для файла EXE с загрузчиком была взята с русскоязычного форума — это мем с шуткой над украинцами.

    speech.sarcasm(«это сверхважная информация, нам нужно больше подробностей! кто его нарисовал, кто первый запостил, рейтинг этих людей на этом замечательном форуме! как же вы такое пропустили, в самом деле?»)


    1. Anarions
      22.02.2017 15:59
      +3

      По такой шуточной штуке спалили довольно крупного хакера же. Недавно была статья на GT



  1. Equin0x
    22.02.2017 19:51
    +2

    Пойду выпаивать микрофон с платы ноута. Нечего слушать, как я кота ругаю.


  1. quadroD
    22.02.2017 19:53

    Загрузчик определяли только 4 из 54 протестированных антивирусов.


    Так CyberX еще антивирусы этим тестировали. Интересно, что это за четыре антивируса…


    1. express
      23.02.2017 08:08

      На вирустотал отправили, наверное.


  1. teecat
    27.02.2017 11:40

    Дано:
    — большинство заражений на Украине, несколько человек в России, Саудовской Аравии и Австрии.
    — на Украине заражения по обе стороны линии фронта (если можно так сказать)
    — совершенно случайный набор зараженных по сфере деятельности
    — ничего не сказано про должности зараженных. Кто они? Секретари, бухгалтера, менеджеры по продажам, руководство?

    Ну не вяжется столь беспорядочные заражения с разведкой. Все же разведка должна быть направлена на конкретный регион/тип деятельности/людей, обладающих знаниями(а в данном случае еще и постоянно говорящих на тему секретной информации).