Κινεζική ομάδα στο χώρο των κυβερνοαπειλών χρησιμοποίησε ένα νέο όπλο κατασκοπείας στον κυβερνοχώρο σε κυβέρνηση της Νοτιοανατολικής Ασίας

Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR) προειδοποιεί για ένα νέο όπλο κατασκοπείας στον κυβερνοχώρο που χρησιμοποιείται από μια κινεζική ομάδα κυβερνοαπειλών, καθώς εντόπισε και μπλόκαρε μια συνεχιζόμενη επιχείρηση παρακολούθησης που στόχο είχε κυβέρνηση της Νοτιοανατολικής Ασίας. Κατά τη διάρκεια τριών ετών, οι δράστες ανέπτυξαν μια εντελώς άγνωστη πύλη (backdoor) στο λογισμικό των Windows που εκτελούνταν στους προσωπικούς υπολογιστές των θυμάτων, επιτρέποντας δυνατότητες άμεσης κατασκοπείας, όπως η λήψη στιγμιότυπων οθόνης, η επεξεργασία αρχείων και η εκτέλεση εντολών.

- Οι επιτιθέμενοι ξεκίνησαν στέλνοντας έγγραφα που περιείχαν ιούς, υποδυόμενοι άλλες υπηρεσίες της ίδιας κυβέρνησης στοχεύοντας μέλη του Υπουργείου Εξωτερικών αυτής.

- Οι δράστες ανέπτυξαν, δοκίμασαν και εγκατέστησαν ένα νέο όπλο κατασκοπείας στον κυβερνοχώρο, συγκεκριμένα μια πύλη των Windows με την εσωτερική ονομασία "VictoryDll_x86.dll", ικανή να συλλέγει οποιαδήποτε σχεδόν πληροφορία επιθυμούν οι επιτιθέμενοι.

- Η επιχείρηση παρακολούθησης κατέβαλε σημαντική προσπάθεια για να αποφύγει τον εντοπισμό, περιορίζοντας τις ώρες εργασίας της και αλλάζοντας την υποδομή της πολλές φορές

Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR) εντόπισε και μπλόκαρε μια συνεχιζόμενη δραστηριότητα παρακολούθησης με στόχο κυβέρνηση της Νοτιοανατολικής Ασίας. Οι δράστες, που η CPR θεωρεί ότι είναι μια κινεζική ομάδα απειλών, έστελναν συστηματικά έγγραφα που περιείχαν ιούς -παριστάνοντας άλλες υπηρεσίες της ίδιας κυβέρνησης- σε πολλά μέλη του Υπουργείου Εξωτερικών της κυβέρνησης. Η CPR υποψιάζεται ότι ο σκοπός της επιχείρησης είναι η κατασκοπεία μέσω της εγκατάστασης μιας άγνωστης προηγουμένως πύλης στο λογισμικό Windows που τρέχει στους προσωπικούς υπολογιστές των θυμάτων. Μετά την εγκατάσταση, οι επιτιθέμενοι μπορούν να συλλέγουν σχεδόν οποιαδήποτε πληροφορία θέλουν, καθώς και να λαμβάνουν στιγμιότυπα από την οθόνη και να εκτελούν πρόσθετο κακόβουλο λογισμικό στον προσωπικό υπολογιστή του στόχου. Η έρευνα του CPR αποκάλυψε ότι οι δράστες δοκιμάζουν και τελειοποιούν το εργαλείο backdoor των Windows τουλάχιστον τα τελευταία τρία χρόνια.

Η αλυσίδα μόλυνσης

Η διαδικασία που ακολουθείται για την μόλυνση    μπορεί να συνοψιστεί στα ακόλουθα βήματα:

1.       Το θύμα λαμβάνει ένα ηλεκτρονικό μήνυμα με συνημμένο έγγραφο, το οποίο υποτίθεται ότι αποστέλλεται από κάποιο άλλο υπουργείο ή επιτροπή της κυβέρνησης.

2.       Με το άνοιγμα του εγγράφου, το θύμα εκτελεί μια σειρά πράξεων που τελικά ενεργοποιεί το backdoor

3.       Το backdoor συλλέγει οποιαδήποτε πληροφορία θέλουν οι επιτιθέμενοι, συμπεριλαμβανομένης της καταγραφής των αρχείων και των ενεργών προγραμμάτων στον υπολογιστή, επιτρέποντας στον δράστη την απομακρυσμένη πρόσβαση.

Σχήμα 1. Μεταφρασμένη έκδοση ενός από τα πρωτότυπα trojan έγγραφα που χρησιμοποιήθηκαν κατά την επίθεση

Σχήμα 2: Διάγραμμα της πλήρους αλυσίδας μόλυνσης:

Το μέχρι σήμερα άγνωστο backdoor

Κατά τη διάρκεια τριών ετών, οι δράστες ανέπτυξαν μια νέα πύλη (backdoor), έναν τύπο κακόβουλου λογισμικού που παρακάμπτει τις συνήθεις διαδικασίες ελέγχου ταυτότητας για την πρόσβαση σε ένα σύστημα. Με την εσωτερική ονομασία "VictoryDll_x86.dll", η μονάδα backdoor περιέχει προσαρμοσμένο κακόβουλο λογισμικό με τις ακόλουθες δυνατότητες:

- Διαγραφή/Δημιουργία/Μετονομασία/Ανάγνωση/Συγγραφή & λήψη αρχείων

- Λήψη πληροφοριών για διαδικασίες και υπηρεσίες

- Λήψη στιγμιότυπων οθόνης

-  Εκτέλεση εντολών μέσω του cmd.exe

- Δημιουργία/Τερματισμός διαδικασίας

- Λήψη πινάκων TCP/UDP

- Λήψη πληροφορίων για τα registry keys

-  Λήψη τίτλων από όλα τα top-level windows

- Λήψη πληροφοριών του προσωπικού υπολογιστή του θύματος - όνομα υπολογιστή, όνομα  χρήστη, διεύθυνση gateway, δεδομένα, έκδοση των Windows  και τύπος χρήστη.

- Τερματισμός PC

Αναφορά

Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR) θεωρεί, όχι με απόλυτη βεβαιότητα, ότι η συνεχιζόμενη επιχείρηση παρακολούθησης οφείλεται σε Κινεζική ομάδα κυβερνοαπειλών, βάσει τα ακόλουθα στοιχεία και δείκτες:

• Οι διακομιστές εντολών και ελέγχου (C&C) επικοινωνούσαν μόνο μεταξύ 01:00 - 08:00 UTC, που εκτιμάται  ότι είναι οι εργάσιμες ώρες στη χώρα των επιτιθέμενων, επομένως το εύρος της πιθανής προέλευσης αυτής της επίθεσης είναι περιορισμένο.

• Οι διακομιστές C&C δεν έστειλαν κανένα payload (ακόμη και κατά τη διάρκεια των ωρών εργασίας), ειδικά κατά την περίοδο μεταξύ 1ης και 5ης Μαΐου - αργίες της εργατικής Πρωτομαγιάς στην Κίνα.

• Ορισμένες δοκιμαστικές εκδόσεις του backdoor περιείχαν έλεγχο συνδεσιμότητας στο διαδίκτυο με το www.baidu.com - έναν κορυφαίο κινεζικό ιστότοπο.
• Το κιτ εκμετάλλευσης RoyalRoad RTF, που χρησιμοποιήθηκε για την αξιοποίηση των εγγράφων στην επίθεση, σχετίζεται κυρίως με κινεζικές ομάδες APT.
• Ορισμένες δοκιμαστικές εκδόσεις του backdoor από το 2018 μεταφορτώθηκαν στο VirusTotal από την Κίνα

Αποφυγή ανίχνευσης

Η επιχείρηση παρακολούθησης κατέβαλε σημαντική προσπάθεια για να αποφύγει τον εντοπισμό:

- Πρώτον, ο διακομιστής εντολών και ελέγχου λειτουργούσε σε ένα περιορισμένο ημερήσιο παράθυρο, το οποίο συσχετίζεται με τις εργάσιμες ώρες στην Κίνα, και η υποδομή άλλαξε πολλές φορές κατά τη διάρκεια της εκστρατείας.

- Επιπλέον, το κακόβουλο λογισμικό backdoor βρισκόταν σε εξέλιξη από το 2017, αλλά με την πάροδο του χρόνου διασπάστηκε σε πολλαπλά στάδια, προκειμένου να παρεμποδιστεί η ανάλυση και ο εντοπισμός του.

Ο Lotem Finkelsteen, Head of Threat Intelligence, Check Point Software δήλωσε σχετικά "Όλα τα στοιχεία δείχνουν ότι έχουμε να κάνουμε με μια εξαιρετικά οργανωμένη επιχείρηση που κατέβαλε σημαντική προσπάθεια για να παραμείνει κάτω από το ραντάρ. Κάθε λίγες εβδομάδες, οι δράστες χρησιμοποιούσαν μηνύματα ηλεκτρονικού ταχυδρομείου spear-phishing, τα οποία χρησιμοποιούσαν ως θέμα κυβερνητικά χαρακτηριστικά, για να καταφέρουν να αποκτήσουν πρόσβαση στο Υπουργείο Εξωτερικών της χώρας το οποίο ήταν ο στόχος. Αυτό σημαίνει ότι οι δράστες έπρεπε πρώτα να επιτεθούν σε μια άλλη υπηρεσία του κράτους-στόχος, κλέβοντας και μετατρέποντας έγγραφα σε όπλα για να τα χρησιμοποιήσουν εναντίον του Υπουργείου Εξωτερικών. Συνολικά, οι δράστες, οι οποίοι πιστεύουμε ότι είναι μια κινεζική ομάδα, ήταν πολύ συστηματικοί στην προσέγγισή τους. Η έρευνά μας οδήγησε στην ανακάλυψη ενός νέου backdoor των Windows, με άλλα λόγια ενός νέου όπλου κατασκοπείας στον κυβερνοχώρο, που η κινεζική ομάδα αναπτύσσει από το 2017. Το συγκεκριμένο backdoor διαμορφώθηκε και αναμορφώθηκε ξανά και ξανά κατά τη διάρκεια τριών ετών, προτού χρησιμοποιηθεί. Αυτό το backdoor είναι πολύ πιο παρεμβατικό και ικανό να συλλέγει τεράστιο όγκο δεδομένων από έναν μολυσμένο υπολογιστή. Οι δράστες ενδιαφέρονται για το τι συμβαίνει στον προσωπικό υπολογιστή του στόχου ανά πάσα στιγμή, με αποτέλεσμα τη ζωντανή κατασκοπεία. Παρόλο που καταφέραμε να εμποδίσουμε την επιχείρηση παρακολούθησης για την κυβέρνηση της Νοτιοανατολικής Ασίας, είναι πιθανό η ομάδα  αυτή να χρησιμοποιεί το νέο όπλο της κυβερνοκατασκοπείας και σε άλλους στόχους σε όλο τον κόσμο".