В октябре 2016 новый клиент обратился в компанию информационной безопасности Cybereason, волнуясь, что он может быть скомпрометирован в каком-то нарушении. По сути, так и произошло — одной из пресловутых хакерских группировок: APT32.

В тот момент клиент, крупная международная компания, основанная в Азии, не знала на какие устройства и серверы повлиял взлом или окончательно произошел ли взлом. «Они наблюдали много странных вещей в их сети», — говорит Ассаф Даан, директор передовой безопасности Cybereason.

Компания уже использовала продукты безопасности, такие как файрволы, сетевые фильтры и сканеры, но ни один не обнаружил вторжения. Однако когда Cybereason проводил расследование, то начал обнаруживать все более и более подозрительную злоумышленную активность. В конце концов, фирма безопасности обнаружила крупномасштабную атаку, которая продолжалась в течение года, и в ней они увидели четкую ссылку на APT32.

Пресловутая APT32


Также называется OceanLotus Group, APT32 известна сложными атаками на частные компании, иностранные правительства, журналистов и активистов. Активность группы берет начало в 2012 г., когда организация начала атаки на китайские объекты перед расширением атак Азией, включая Вьетнам и Филиппины. В отличие от других групп, которые имеют тенденцию поддерживать, по крайней мере косвенно, основные хакерские интересы, спонсируемые государством, APT32 часто не соблюдают интересы известных игроков, таких как Россия или Китай.

Недавно опубликованные детали атаки на Cybereason, способствовали пониманию, как действует APT32 и ее возможные мотивы. Для таких «постоянных передовых угроз» нужны финансовые ресурсы и трудозатраты, чтобы установить, а затем увидеть весь путь до конца; однако группы, финансирующие их, могут получить взамен бесценные данные.

В этом случае, Cybereason говорит, что APT32 был четко нацелен на интеллектуальную собственность и конфиденциальную деловую информацию, а также, со временем, отслеживание работы компании по особым проектам.

«Ее (атаки) масштаб был довольно тревожным. Это не пустяк» — утверждает Даан. «Нам нужно было держать это в тайне, мы пытались защитить анонимность наших клиентов, поэтому мы не могли ничего опубликовать. Но мы чувствовали — как только предадим огласки, больше компаний по безопасности или даже правительственных агентств заметят атаку и помогут остановить эту группу».

«Кошки-мышки»


В инциденте Cybereason возобновилась, фирма проследила вторжения до фишинг-писем, которые заманивали жертв загрузить фальшивый Flash инсталлятор или вредоносный документ Microsoft Word, а вместо этого сохраняли вредоносную программу в сети. После установки группа использовала многочисленную уязвимость експлойтеров и манипуляции, передвигаясь по сети и встраивая различные вредоносные программы.

Хакеры использовали инструмент управления конфигурацией Windows PowerShell, популярная точка входа хакеров, чтобы установить злоумышленные скрипты в системе. Затем они манипулировали законными службами управления сети Windows, такими как Windows Registry Autorun и Windows Scheduled Tasks, навсегда сохраняя свой злоумышленный код на неограниченное время, следовательно, это будет продолжаться даже после перезапуска устройства. Взломщики также использовали свойства Microsoft Outlook, приложение обновления Google и инструменты антивируса Kaspersky Labs, чтобы пробраться глубже в сеть. Оценив ситуацию в течение нескольких недель, Cybereason определила разный набор инструментов и методов взломщиков.

«Они ориентированы на управление высшего уровня, как вице-президенты, директора, около 40 их сотрудников управления, включая секретаря генерального директора», — говорит Даан. «Они очень хорошо наметили свои цели. Они знали, кого эксплуатировать и куда передвигаться, будучи уже в сети. Они точно знали, какие механизмы им интересны».

Однако когда Cybereason блокировала взломщиков, начали происходить интересные вещи. Поскольку компания предприняла шаги, чтобы ограничить присутствие группы в сети и, в конце концов, избавиться от них, злоумышленники начали вытаскивать все больше и больше уникальных атак, восстанавливая себя.

После блокировки злоумышленников сети, Cybereason говорит, что они возродятся в любом месте от 48 часов до 4 недель. В целом, злоумышленники использовали более 70 различных частей вредоносных программ для выполнения различных этапов долгосрочной атаки. «Они очень хорошо знали сеть, могли создать много черных ходов или лазеек, чтобы вернуться, а также у них есть достаточно средств в своем арсенале», — говорит Даан. «Это действительно была игра в кошки-мышки».

Исследователи фирм безопасности, таких как FireEye, отслеживали действия APT32 и заметили такие особенности, как использование основных и предназначенных для клиента инструментов, а также способы сохраняться в течение длительного периода. Исследователи уже опубликовали о некоторых деяния, которые Cybereason видел на практике.

Николас Карр, старший менеджер по реагированию на инциденты в FireEye, консультировался в около дюжины заражений APT32, и говорит, что тип атаки, описанный Cybereason, соответствует форме APT32, хотя он не изучал отчет Cybereason. «Не странно, что APT32 такой решительный в поддержание доступа к сети», — говорит он. «Они заинтересованы в таком долгосрочном доступе к новым развивающимся ситуациям. У них есть впечатляющий масштаб команды и инфраструктура управления».

Многие вопросы о APT32 остаются без ответа. FireEye предполагает, что проекты группы, похоже, служат интересам Вьетнама, но пока нет общего исследовательского консенсуса. Экспертам также нужно подтвердить атрибуции APT32 в данном конкретном случае. Но учитывая известные примеры атак APT32, и те, которые проанализированы публично и те, что фирмы оценивают внутри, APT32, безусловно, имеет ресурсы и возможности для выполнения невероятных крупномасштабных сетевых атак, как в случае Cybereason; в частности, для наблюдения и эксфильтрации данных.

«Если эта группа может управлять несколькими кампаниями одновременно, это много говорит о ней», — отмечает Даан. «Это доказывает их способность, силу и находчивость».

Ориганал
Поделиться с друзьями
-->

Комментарии (18)


  1. Spurlos
    28.05.2017 22:48

    Можно пожалуйста прикрепить ссылку на первоисточник?


  1. atorero
    28.05.2017 23:13
    +6

    извините, но статья выглядит как машинный перевод и читать ее тяжело


  1. Andy_Big
    28.05.2017 23:24
    +6

    Можно, пожалуйста, больше не публиковать корявые гуглопереводы? Ни одного нормального предложения в статье…


  1. Dreyk
    28.05.2017 23:30
    +4

    «Если это выглядит как то, что вы пытаетесь принять необычные шаги, чтобы скрыть вещи, которые обнаружены при обыске, это может создать последствия»
    вот это сейчас на каком языке было сказано?


  1. StjarnornasFred
    29.05.2017 00:05

    Стоп, что? Пограничники с некоторых пор ещё и влазят в аккаунты на устройствах? Приехали, называется… Это в каких странах так?


    1. corvus
      29.05.2017 01:49
      +1

      В тех, кто всех остальных учит свободе и демократии: https://www.theverge.com/2017/2/15/14629022/border-search-customs-data-privacy-encryption


      1. anmipo
        29.05.2017 14:45

        Там просто сотрудника NASA на понт взяли, чтобы он пароль от телефона дал. С точки зрения тамошних законов он этого делать был не обязан:

        Customs agents still don’t have the right to compel passwords or access cloud services, and while they can hold devices for weeks or even months as they’re examined, modern device encryption typically prevents any data from being recovered.
        Устройства у вас могут изъять для изучения, но пароль давать вы никому не обязаны.


    1. Idot
      29.05.2017 07:36
      +1

      В Британии — за отказ сообщить пароль можно сесть и надолго.


      1. maxpsyhos
        29.05.2017 07:51

        Не, пароль от самого ноута/смартфона — это понятно. Но чтобы заставляли выдавать пароли от почты, дропбокса, айклауда и т.д., это уже как-то перебор. Ведь эта информация не хранится на обыскиваемом устройстве, значит по идее не должна попадать под понятие «обыск».


        1. qw1
          29.05.2017 12:10

          А зачем нужен пароль от «самого смартфона», если все приложения на нём закрыты паролем?


          1. maxpsyhos
            29.05.2017 13:48

            Для доступа к диску. Но если требовать паролей к облачным сервисам, это равносильно тому, что при обыске помещения требовать предъявить ключи от машины, гаража и дачи и до кучи по тому же ордеру (который только на помещение) обыскать ещё и их.


            1. qw1
              29.05.2017 17:18

              В приложении могут закешированные данные, которые хранятся локально, но доступны только при входе в приложение.

              То есть, если весь диск зашифрован — будь добр предоставить пароль.
              А если на диске есть зашифрованные файлы (а-ля приложения), то пароль не надо предоставлять?

              Какой-то идиотизм с этими виртуальными обысками.


  1. Fen1kz
    29.05.2017 04:20
    +10

    Это выглядит как то что является вами не способно делать перевод статьей, которые написаны на иностранном языке, чтобы эти статьи были понимаемы нами. Это означает, что это проявлет собой просьбу не совершать попыток делать перевод на этом сайте.


  1. DrZlodberg
    29.05.2017 09:32

    К примеру, если вы только сохраните пароли для нескольких аккаунтов в вашем хранилище путешествий, но оставите многочисленные приложения на телефоне, может стать очевидным, что вы вычеркнули несколько паролей
    Т.е. не сумел/забил удалить предустановленную мордокнигу/линкед/ещё кучу этого барахла — автоматически попадаешь на проблемы? Нормально так…


  1. NeoCode
    29.05.2017 09:33
    +1

    В эпоху, когда все чувствительные данные можно хранить в криптоконтейнерах в облачных файлохранилищах, досмотры ноутбуков кажутся как минимум странными.


  1. kutensky
    29.05.2017 12:36
    -1

    А что если у тебя зашифрованный ноут с PHI данными американских медицинских компаний, которые тебе запрещено раскрыв американским же законом. Сообщать пароль к компьютеру пограничнику США, нарушая закон США?


  1. Ivan_83
    29.05.2017 12:38

    Унылое и бесполезное решение на практике.

    Унылое потому что исходники не открыты, и вообще сервис сам может всё сдать по запросу местных майоров. Если не сразу, то заслав клиенту особое обновление безопасности с уникальными функциями только для него.

    Бесполезное потому что векторов атаки сильно больше, и физический доступ может использоваться не для того чтобы слить с устройства что то, а для того чтобы туда что то подсадить/залить. А дальше оно само сольёт что нужно и куда нужно.
    Те если у тебя забрали устройство даже на 5 минут, можешь считать его скомпрометированным и больше ему не доверять.

    Отдельно, если у тебя продукция яблока или мс то если ты вип то тебе могут опять же придти персональные апдейты.
    С андройдом наверное чуть сложнее, но скорее всего разница в том что апдейты можно ждать не только от людей за дудлем но и от вендора=азиатов как правило.
    Что касается линуксов и прочего тут конечно с апдейтами чуть лучше/много для юзера в этом плане, но 100% гарантии нет.


  1. Radjah
    29.05.2017 15:06

    О чем вообще пост? Залить пароли в облако, потом их оттуда скачать, когда погоня отстанет?