Крупный план пресловутой группировки хакеров APT32 в действии

В октябре 2016 новый клиент обратился в компанию информационной безопасности Cybereason, волнуясь, что он может быть скомпрометирован в каком-то нарушении. По сути, так и произошло — одной из пресловутых хакерских группировок: APT32.

В тот момент клиент, крупная международная компания, основанная в Азии, не знала на какие устройства и серверы повлиял взлом или окончательно произошел ли взлом. «Они наблюдали много странных вещей в их сети», — говорит Ассаф Даан, директор передовой безопасности Cybereason.

Компания уже использовала продукты безопасности, такие как файрволы, сетевые фильтры и сканеры, но ни один не обнаружил вторжения. Однако когда Cybereason проводил расследование, то начал обнаруживать все более и более подозрительную злоумышленную активность. В конце концов, фирма безопасности обнаружила крупномасштабную атаку, которая продолжалась в течение года, и в ней они увидели четкую ссылку на APT32.

Пресловутая APT32


Также называется OceanLotus Group, APT32 известна сложными атаками на частные компании, иностранные правительства, журналистов и активистов. Активность группы берет начало в 2012 г., когда организация начала атаки на китайские объекты перед расширением атак Азией, включая Вьетнам и Филиппины. В отличие от других групп, которые имеют тенденцию поддерживать, по крайней мере косвенно, основные хакерские интересы, спонсируемые государством, APT32 часто не соблюдают интересы известных игроков, таких как Россия или Китай.

Недавно опубликованные детали атаки на Cybereason, способствовали пониманию, как действует APT32 и ее возможные мотивы. Для таких «постоянных передовых угроз» нужны финансовые ресурсы и трудозатраты, чтобы установить, а затем увидеть весь путь до конца; однако группы, финансирующие их, могут получить взамен бесценные данные.

В этом случае, Cybereason говорит, что APT32 был четко нацелен на интеллектуальную собственность и конфиденциальную деловую информацию, а также, со временем, отслеживание работы компании по особым проектам.

«Ее (атаки) масштаб был довольно тревожным. Это не пустяк» — утверждает Даан. «Нам нужно было держать это в тайне, мы пытались защитить анонимность наших клиентов, поэтому мы не могли ничего опубликовать. Но мы чувствовали — как только предадим огласки, больше компаний по безопасности или даже правительственных агентств заметят атаку и помогут остановить эту группу».

«Кошки-мышки»


В инциденте Cybereason возобновилась, фирма проследила вторжения до фишинг-писем, которые заманивали жертв загрузить фальшивый Flash инсталлятор или вредоносный документ Microsoft Word, а вместо этого сохраняли вредоносную программу в сети. После установки группа использовала многочисленную уязвимость експлойтеров и манипуляции, передвигаясь по сети и встраивая различные вредоносные программы.

Хакеры использовали инструмент управления конфигурацией Windows PowerShell, популярная точка входа хакеров, чтобы установить злоумышленные скрипты в системе. Затем они манипулировали законными службами управления сети Windows, такими как Windows Registry Autorun и Windows Scheduled Tasks, навсегда сохраняя свой злоумышленный код на неограниченное время, следовательно, это будет продолжаться даже после перезапуска устройства. Взломщики также использовали свойства Microsoft Outlook, приложение обновления Google и инструменты антивируса Kaspersky Labs, чтобы пробраться глубже в сеть. Оценив ситуацию в течение нескольких недель, Cybereason определила разный набор инструментов и методов взломщиков.

«Они ориентированы на управление высшего уровня, как вице-президенты, директора, около 40 их сотрудников управления, включая секретаря генерального директора», — говорит Даан. «Они очень хорошо наметили свои цели. Они знали, кого эксплуатировать и куда передвигаться, будучи уже в сети. Они точно знали, какие механизмы им интересны».

Однако когда Cybereason блокировала взломщиков, начали происходить интересные вещи. Поскольку компания предприняла шаги, чтобы ограничить присутствие группы в сети и, в конце концов, избавиться от них, злоумышленники начали вытаскивать все больше и больше уникальных атак, восстанавливая себя.

После блокировки злоумышленников сети, Cybereason говорит, что они возродятся в любом месте от 48 часов до 4 недель. В целом, злоумышленники использовали более 70 различных частей вредоносных программ для выполнения различных этапов долгосрочной атаки. «Они очень хорошо знали сеть, могли создать много черных ходов или лазеек, чтобы вернуться, а также у них есть достаточно средств в своем арсенале», — говорит Даан. «Это действительно была игра в кошки-мышки».

Исследователи фирм безопасности, таких как FireEye, отслеживали действия APT32 и заметили такие особенности, как использование основных и предназначенных для клиента инструментов, а также способы сохраняться в течение длительного периода. Исследователи уже опубликовали о некоторых деяния, которые Cybereason видел на практике.

Николас Карр, старший менеджер по реагированию на инциденты в FireEye, консультировался в около дюжины заражений APT32, и говорит, что тип атаки, описанный Cybereason, соответствует форме APT32, хотя он не изучал отчет Cybereason. «Не странно, что APT32 такой решительный в поддержание доступа к сети», — говорит он. «Они заинтересованы в таком долгосрочном доступе к новым развивающимся ситуациям. У них есть впечатляющий масштаб команды и инфраструктура управления».

Многие вопросы о APT32 остаются без ответа. FireEye предполагает, что проекты группы, похоже, служат интересам Вьетнама, но пока нет общего исследовательского консенсуса. Экспертам также нужно подтвердить атрибуции APT32 в данном конкретном случае. Но учитывая известные примеры атак APT32, и те, которые проанализированы публично и те, что фирмы оценивают внутри, APT32, безусловно, имеет ресурсы и возможности для выполнения невероятных крупномасштабных сетевых атак, как в случае Cybereason; в частности, для наблюдения и эксфильтрации данных.

«Если эта группа может управлять несколькими кампаниями одновременно, это много говорит о ней», — отмечает Даан. «Это доказывает их способность, силу и находчивость».

Ориганал

Similar posts

AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 18

    0
    Можно пожалуйста прикрепить ссылку на первоисточник?
      +6

      извините, но статья выглядит как машинный перевод и читать ее тяжело

        +6
        Можно, пожалуйста, больше не публиковать корявые гуглопереводы? Ни одного нормального предложения в статье…
          +4
          «Если это выглядит как то, что вы пытаетесь принять необычные шаги, чтобы скрыть вещи, которые обнаружены при обыске, это может создать последствия»
          вот это сейчас на каком языке было сказано?
            0
            Стоп, что? Пограничники с некоторых пор ещё и влазят в аккаунты на устройствах? Приехали, называется… Это в каких странах так?
              +1
              В тех, кто всех остальных учит свободе и демократии: https://www.theverge.com/2017/2/15/14629022/border-search-customs-data-privacy-encryption
                0
                Там просто сотрудника NASA на понт взяли, чтобы он пароль от телефона дал. С точки зрения тамошних законов он этого делать был не обязан:
                Customs agents still don’t have the right to compel passwords or access cloud services, and while they can hold devices for weeks or even months as they’re examined, modern device encryption typically prevents any data from being recovered.
                Устройства у вас могут изъять для изучения, но пароль давать вы никому не обязаны.
                +1
                В Британии — за отказ сообщить пароль можно сесть и надолго.
                  0
                  Не, пароль от самого ноута/смартфона — это понятно. Но чтобы заставляли выдавать пароли от почты, дропбокса, айклауда и т.д., это уже как-то перебор. Ведь эта информация не хранится на обыскиваемом устройстве, значит по идее не должна попадать под понятие «обыск».
                    0
                    А зачем нужен пароль от «самого смартфона», если все приложения на нём закрыты паролем?
                      0
                      Для доступа к диску. Но если требовать паролей к облачным сервисам, это равносильно тому, что при обыске помещения требовать предъявить ключи от машины, гаража и дачи и до кучи по тому же ордеру (который только на помещение) обыскать ещё и их.
                        0
                        В приложении могут закешированные данные, которые хранятся локально, но доступны только при входе в приложение.

                        То есть, если весь диск зашифрован — будь добр предоставить пароль.
                        А если на диске есть зашифрованные файлы (а-ля приложения), то пароль не надо предоставлять?

                        Какой-то идиотизм с этими виртуальными обысками.
                +10

                Это выглядит как то что является вами не способно делать перевод статьей, которые написаны на иностранном языке, чтобы эти статьи были понимаемы нами. Это означает, что это проявлет собой просьбу не совершать попыток делать перевод на этом сайте.

                  0
                  К примеру, если вы только сохраните пароли для нескольких аккаунтов в вашем хранилище путешествий, но оставите многочисленные приложения на телефоне, может стать очевидным, что вы вычеркнули несколько паролей
                  Т.е. не сумел/забил удалить предустановленную мордокнигу/линкед/ещё кучу этого барахла — автоматически попадаешь на проблемы? Нормально так…
                    +1
                    В эпоху, когда все чувствительные данные можно хранить в криптоконтейнерах в облачных файлохранилищах, досмотры ноутбуков кажутся как минимум странными.
                      –1
                      А что если у тебя зашифрованный ноут с PHI данными американских медицинских компаний, которые тебе запрещено раскрыв американским же законом. Сообщать пароль к компьютеру пограничнику США, нарушая закон США?
                      • UFO just landed and posted this here
                          0
                          О чем вообще пост? Залить пароли в облако, потом их оттуда скачать, когда погоня отстанет?

                          Only users with full accounts can post comments. Log in, please.