В октябре 2016 новый клиент обратился в компанию информационной безопасности Cybereason, волнуясь, что он может быть скомпрометирован в каком-то нарушении. По сути, так и произошло — одной из пресловутых хакерских группировок: APT32.

В тот момент клиент, крупная международная компания, основанная в Азии, не знала на какие устройства и серверы повлиял взлом или окончательно произошел ли взлом. «Они наблюдали много странных вещей в их сети», — говорит Ассаф Даан, директор передовой безопасности Cybereason.

Компания уже использовала продукты безопасности, такие как файрволы, сетевые фильтры и сканеры, но ни один не обнаружил вторжения. Однако когда Cybereason проводил расследование, то начал обнаруживать все более и более подозрительную злоумышленную активность. В конце концов, фирма безопасности обнаружила крупномасштабную атаку, которая продолжалась в течение года, и в ней они увидели четкую ссылку на APT32.

Пресловутая APT32

Также называется OceanLotus Group, APT32 известна сложными атаками на частные компании, иностранные правительства, журналистов и активистов. Активность группы берет начало в 2012 г., когда организация начала атаки на китайские объекты перед расширением атак Азией, включая Вьетнам и Филиппины. В отличие от других групп, которые имеют тенденцию поддерживать, по крайней мере косвенно, основные хакерские интересы, спонсируемые государством, APT32 часто не соблюдают интересы известных игроков, таких как Россия или Китай.

Недавно опубликованные детали атаки на Cybereason, способствовали пониманию, как действует APT32 и ее возможные мотивы. Для таких «постоянных передовых угроз» нужны финансовые ресурсы и трудозатраты, чтобы установить, а затем увидеть весь путь до конца; однако группы, финансирующие их, могут получить взамен бесценные данные.

В этом случае, Cybereason говорит, что APT32 был четко нацелен на интеллектуальную собственность и конфиденциальную деловую информацию, а также, со временем, отслеживание работы компании по особым проектам.

«Ее (атаки) масштаб был довольно тревожным. Это не пустяк» — утверждает Даан. «Нам нужно было держать это в тайне, мы пытались защитить анонимность наших клиентов, поэтому мы не могли ничего опубликовать. Но мы чувствовали — как только предадим огласки, больше компаний по безопасности или даже правительственных агентств заметят атаку и помогут остановить эту группу».

«Кошки-мышки»

В инциденте Cybereason возобновилась, фирма проследила вторжения до фишинг-писем, которые заманивали жертв загрузить фальшивый Flash инсталлятор или вредоносный документ Microsoft Word, а вместо этого сохраняли вредоносную программу в сети. После установки группа использовала многочисленную уязвимость експлойтеров и манипуляции, передвигаясь по сети и встраивая различные вредоносные программы.

Хакеры использовали инструмент управления конфигурацией Windows PowerShell, популярная точка входа хакеров, чтобы установить злоумышленные скрипты в системе. Затем они манипулировали законными службами управления сети Windows, такими как Windows Registry Autorun и Windows Scheduled Tasks, навсегда сохраняя свой злоумышленный код на неограниченное время, следовательно, это будет продолжаться даже после перезапуска устройства. Взломщики также использовали свойства Microsoft Outlook, приложение обновления Google и инструменты антивируса Kaspersky Labs, чтобы пробраться глубже в сеть. Оценив ситуацию в течение нескольких недель, Cybereason определила разный набор инструментов и методов взломщиков.

«Они ориентированы на управление высшего уровня, как вице-президенты, директора, около 40 их сотрудников управления, включая секретаря генерального директора», — говорит Даан. «Они очень хорошо наметили свои цели. Они знали, кого эксплуатировать и куда передвигаться, будучи уже в сети. Они точно знали, какие механизмы им интересны».

Однако когда Cybereason блокировала взломщиков, начали происходить интересные вещи. Поскольку компания предприняла шаги, чтобы ограничить присутствие группы в сети и, в конце концов, избавиться от них, злоумышленники начали вытаскивать все больше и больше уникальных атак, восстанавливая себя.

После блокировки злоумышленников сети, Cybereason говорит, что они возродятся в любом месте от 48 часов до 4 недель. В целом, злоумышленники использовали более 70 различных частей вредоносных программ для выполнения различных этапов долгосрочной атаки. «Они очень хорошо знали сеть, могли создать много черных ходов или лазеек, чтобы вернуться, а также у них есть достаточно средств в своем арсенале», — говорит Даан. «Это действительно была игра в кошки-мышки».

Исследователи фирм безопасности, таких как FireEye, отслеживали действия APT32 и заметили такие особенности, как использование основных и предназначенных для клиента инструментов, а также способы сохраняться в течение длительного периода. Исследователи уже опубликовали о некоторых деяния, которые Cybereason видел на практике.

Николас Карр, старший менеджер по реагированию на инциденты в FireEye, консультировался в около дюжины заражений APT32, и говорит, что тип атаки, описанный Cybereason, соответствует форме APT32, хотя он не изучал отчет Cybereason. «Не странно, что APT32 такой решительный в поддержание доступа к сети», — говорит он. «Они заинтересованы в таком долгосрочном доступе к новым развивающимся ситуациям. У них есть впечатляющий масштаб команды и инфраструктура управления».

Многие вопросы о APT32 остаются без ответа. FireEye предполагает, что проекты группы, похоже, служат интересам Вьетнама, но пока нет общего исследовательского консенсуса. Экспертам также нужно подтвердить атрибуции APT32 в данном конкретном случае. Но учитывая известные примеры атак APT32, и те, которые проанализированы публично и те, что фирмы оценивают внутри, APT32, безусловно, имеет ресурсы и возможности для выполнения невероятных крупномасштабных сетевых атак, как в случае Cybereason; в частности, для наблюдения и эксфильтрации данных.

«Если эта группа может управлять несколькими кампаниями одновременно, это много говорит о ней», — отмечает Даан. «Это доказывает их способность, силу и находчивость».

Ориганал