книги хакеры / журнал хакер / 202_Optimized

В далеком 2008 году червь Agent.BTZ инфицировал локальные сети Центрального командования вооруженных сил США на Ближнем Востоке (а начало распространения датируется 2007-м). В качестве вектора заражения использовался на сегодня уже банальный и давно выключенный по умолчанию метод с использованием autorun.inf на флеш-носителях. Интересной особенностью его было то, что его архитектура явно заточена на добывание информации в условиях «защищенного периметра», для этого Agent.BTZ создает файл с именем thumb.dd на всех подключаемых флешках, в который сохраняет в виде CAB-файла файлы winview.ocx, wmcache.nld и mswmpdat.tlb. Эти файлы содержат информацию о зараженной системе и логи активности в ней. То есть thumb.dd представляет собой своеобразный контейнер с данными, которые, если нет возможности передать их на управляющий сервер, сохраняются на флешку. Логи шифровались операцией XOR при помощи ключа

1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri 3do5L6 gs923HL34x2f5cvd0fk6c1a0s

Этот ключ, а также имена файлов и служат камнем преткновения, благодаря которому западные вендоры (в частности Symantec) педалировали тему о связи Agent.BTZ и Turla. Дело в том, что Turla тоже хранит логи в файлах с такими названиями и использует аналогичный ключ шифрования. К слову, сотрудники ЛК к этому факту относятся более сдержанно. На их взгляд, это результат своеобразного «подражания». Кстати, подобное подражание можно отнести к одной из актуальных тенденций современного киберкрайма — кибершпионские группировки стали изучать продукты «конкурентов» по отчетам ИБ-вен- доров, все эти названия файлов, ключи, алгоритмы шифрования и генерации доменов, мьютексы, PDB-строки, даты компиляции, и копировать то, что им понравится.

Компания Symantec именует эту группировку Waterbug. Название основано на том факте, что для заражения активно используется компрометация порядка сотни легитимных сайтов с последующим внедрением на них эксплоитов для загрузки вредоносного кода (устоявшийся термин — watering-hole). В качестве конечных целей выступают различные правительственные организации, посольства, а также исследовательские институты.

Анализ показал, что большое количество зараженных сайтов работает под управлением CMS TYPO3, из чего следует, что злоумышленники явно использовали какую-то уязвимость в ней. На сайты загружались несколько скриптов, при этом для идентификации ОС, браузера и браузерных плагинов использовалась JavaScript-библиотека PluginDetect ver 0.8.5. В зави-

симости от системы применялись различные типы эксплоитов: Java (CVE- 2012-1723), Flash и эксплоиты для Internet Explorer 6, 7, 8. Кроме того, в ход шел прием с запросом пользователя запустить вредоносный установщик, замаскированный под инсталлятор Flash Player или Microsoft Security Essentials, причем они были подписаны сертификатом швейцарской компании Sysprint.

Рис. 6. Распределение жертв Epic Turla по странам

Кроме атак watering-hole, использовался метод целевых рассылок фишинговых писем с PDF-эксплоитами (CVE-2013-3346 + CVE-2013-5065), а иногда установщик представлял собой исполняемый файл с расширением scr, упакованный в архив формата RAR.

вой фильтр для WFP (Windows Filtering Platform) и NDIS (Network Driver Interface Specification) уровней, что позволяет ему полностью контролировать сетевой трафик. В дополнение ко всему под контроль берется функция PsSetCreateProc essNotifyRoutine, что позволяет отслеживать запуск новых процессов в системе.

В Windows 8 PatchGuard уже отслеживал модификацию g_CiEnabled, поэтому разработчики Turla были вынуждены изменить алгоритм работы — теперь вредоносный драйвер грузился через драйвер VirtualBox прямо из памяти. Это еще более повысило скрытность, драйвера нет на диске, и не используется штатная функция NtLoadDriver, которую перехватывают антивирусные продукты.

Первоначально командные центры Turla использовали просто арендованные абузоустойчивые серверы, но потом все изменилось. Очередной сюрприз — сокрытие местоположения C&C при помощи спутниковой связи.

Рис. 7. Панель управления Epic

Как это работает? Turla резолвит DNS C&C, и вот этот IP принадлежит диапазону какого-нибудь спутникового провайдера. Первый пакет, естественно, SYN, причем на порт, который точно закрыт. И тут фишка в том, чтобы выбранный IP не ответил на этот пакет RST или FIN. Обычно это происходит потому, что есть рекомендация для медленных каналов использовать брандмауэры,

которые просто отбрасывают пакеты, предназначенные для закрытых портов. И именно по этому признаку операторы Turla ищут нужные IP. После перехвата пакета со спутника формируется пакет SYN/ASK c dest IP жертвы и src IP подставного IP. Таким образом устанавливается TCP-сессия, ну и дальше идет обмен данными.

Интересно, что операторы Turla использовали нескольких провайдеров спутникового интернета стандарта DVB-S, которые в основном предоставляли интернет-каналы для Ближнего Востока и Африки. То есть в зону их покрытия не входят Европа и Азия. Это может указывать на то, что перехватывающая аппаратура должна находиться на Ближнем Востоке или в Африке.

Кстати, Turla не единственная кибергруппа, использующая спутниковые ин- тернет-каналы. Кроме них, сотрудники «Лаборатории Касперского» отмечают применение такой технологии группировками Hacking Team, Xumuxu и Rocket Kitten. Пока только четыре, что странно, поскольку метод довольно простой, дешевый и обеспечивает отличный уровень анонимизации расположения C&C.

Ну и напоследок — о языковых артефактах. Внутреннее название библиотеки в бэкдоре Epic — Zagruzchik.dll. В панели управления серверов Epic установлена кодовая страница 1251, которая используется для отображения кириллических символов. На взломанные ресурсы заливаются PHP-веб-шел- лы, также использующие кодовую страницу 1251.

Кроме того, информационные сообщения изобилуют ошибками:

•Password it’s wrong!

•Count successful more MAX

•File is not exists

•File is exists for edit

Казалось бы, все это позволяет сделать вывод, что вредоносная кампания организована российскими хакерами, о чем упорно продолжают твердить западные специалисты в своих отчетах. Но это как-то слишком на поверхности. Не исключено, что следы умышленно запутывают. Ведь, как мы знаем, отчеты специалистов в области информационной безопасности кибергруппы стали штудировать особенно тщательно...

ЗАКЛЮЧЕНИЕ

Кибершпионские кампании стали обычным делом. В свое время Stuxnet наделал много шума, а что будет, если разработки такого уровня начнут появляться каждый месяц? Хотя на самом деле нет здоровых пациентов — есть недообследованные. Это значит, что мы наблюдаем лишь верхушку айсберга: периоды активности кибершпионских программ исчисляются годами, так что прямо сейчас по всему миру работают сотни таких программ, пока еще не выявленных.

Хорошо хоть, парадигма обеспечения безопасности начинает изменяться — приходит осознание, что периметр не спасает и что абсолютную защиту выстроить невозможно. Остается только одно — уменьшать время обнаружения APT в своей сети. Именно поэтому многие компании энергично взялись за внедрение SIEM в своих сетях, так как всем стало очевидно, что старые методы обеспечения безопасности уже не работают.

Рядовому пользователю ПК это все не страшно, он же не носит со своей работы «чувствительную» информацию, которую могут слить удаленно... Или носит? Лишний повод задуматься об IT-безопасности и у себя дома тоже.