Dyplomaci 18 państw ofiarami szpiegów. Połączyło ich upodobanie do Worda
Ambasady i inne placówki dyplomatyczne aż 18 państw padłyofiarą cyberataku o nazwie Zebrocy, mającego na celu wykradnięciepoufnych dokumentów. Za atakiem stać ma grupa Sednit, którą firmaESET, odkrywca ataku, utożsamia się ze słynnymi rosyjskimi grupamihakerskii Fancy Bear, APT28 czy Strontium. Sprawa jest chyba jednakbardziej skomplikowana niż donosi ESET.
25.04.2018 | aktual.: 25.04.2018 13:24
Pierwszy raz z nazwą „Sednit” spotkaliśmy się w 2014 roku,kiedy to firma badawcza FireEye ostrzegła przed atakiemspearphishingowym, wykorzystującym uzłośliwione kontrolki ActiveXw dokumentach Microsoft Office. Poprzez taką kontrolkę instalowanowiele specjalizowanych modułów, służących m.in. do szpiegowaniaaktywności użytkownika, wykradania loginów i haseł, zmienianiarejestru Windowsa czy uruchamiania nowych procesów. To właśnie tamenażeria złośliwego oprogramowania otrzymała nazwę „Sednit”,i jak donosiło FireEye, została wykorzystana do ataków naorganizacje rządowe i finansowe ze Wschodniej Europy. W Polsce padłona Warszawską Izbę Rozliczeniową Giełd Towarowych, podobno na celwzięto też kilku urzędników rządowych.
Teraz ESET przywołuje po raz kolejny tę nazwę, mówiąc już ogrupie hakerskiej mającej działać już od 10 lat. Jej najnowszaujawniona operacja dotyczy ataku na pracowników ambasad, ministerstwspraw zagranicznych i placówek dyplomatycznych aż 18 krajów.Ucierpieć mieli dyplomaci z Azerbejdżanu, Bośni i Hercegowiny,Egiptu, Gruzji, Iranu, Kazachstanu, Korei, Kirgistanu, Rosji, ArabiiSaudyjskiej, Serbii, Szwajcarii, Tadżykistanu, Turcji,Turkmenistanu, Ukrainy, Urugwaju i Zimbabwe. Ciekawy zestaw, biorącpod uwagę domniemane pochodzenie napastników: APT28 aka Fancy Bearsmają być elitarną grupą hakerów Kremla. Działali na własnąrękę, czy też ataki na rosyjskie czy serbskie ambasady miałysłużyć odwróceniu uwagi?
O ile cele szpiegowskich operacji pozostaną dla nas pewnie nazawsze nieprzejrzyste, to można dzięki badaczom firmy ESET sporopowiedzieć o metodzie samego ataku i warunkach, jakie na nią topozwoliły. I nie, wcale nie chodzi o to, że wszyscy na świecie,czy na Wschodzie czy na Zachodzie, korzystają z tego samegoWindowsa.
Atak Zebrocy został zauważony po raz pierwszy pod koniec 2015roku – systemy ostrzegania ESET-u wykryć miały nowy downloaderdla Xagenta, głównej furtki Sednitu. Rozsyłany jest on wzałącznikach maili, jako pliki Worda, które mogłyby zainteresowaćprzeciętnego użytkownika – ostatnie dwie kampanie wykorzystywałypliki o nazwach „Syria – New Russia provocations.doc” oraz„Note Letter Mary Christmas Card.doc”. (Użyto w tej kampanii teżwersję droppera wykorzystującą lukę we Flashu grupyDealersChoice, jak również wersje atakujące przez archiwa plików,ale nie były nigdy głównymi wektorami ataku).
Złośliwe dokumenty zawierają makro VBA, tworzące plik olosowej nazwie w katalogu tymczasowym Windowsa. Następnieodkodowywany jest pobrany downloader i wpisywany w ten losowy plik.Uruchamia się go przez PowerShella lub mechanizm Scriptable ShellObjects. Umieszczony w ten sposób w systemie downloader napisanyjest w Delphi albo w języku skryptowym AutoIt, używa ikonek plikówdokumentów Office i często pakera UPX.
Po uruchomieniu wersji w Delphi, użytkownicy zobaczą wyskakująceokienko „Worda” z fałszywą informacją o błędzie – popsutymdokumencie – i nazwą pliku zrzuconego im pliku binarnego. Nazwajest jednak zmodyfikowana tak, by zamiast .exe na końcu było .doc.Ma to służyć odwróceniu uwagi, podczas gdy szkodnik pracuje naduzyskaniem stałej obecności w systemie i wydobyciem wszelkichmożliwych informacji o konfiguracji Windowsa i o uruchomionychprocesach. Po zebraniu informacji zostają one wysłane w zakodowanejformie na serwer dowodzenia i kontroli. Wersja w AutoIt robiwłaściwie to samo, pozwala jednak na większą precyzję podczasrozpoznania systemu, np. wydobycie danych o wirtualizacji czystosowanych obiektach Windows Management Instrumentation.
Jeśli serwer uzna, że trafił na ciekawy cel, czas na kolejnyetap. Stworzony wcześniej plik w katalogu tymczasowym ponowniezostaje nadpisany, zamieniając się w furtkę Xagent, pobieranazostaje też jego konfiguracja – klucze szyfrujące do komunikacjiz serwerem, klucze Rejestru gwarantujące przetrwanie w systemie, czynazwy ukrytych katalogów wykorzystywanych do przechowywaniatymczasowych plików.
Gdy Xagent już ruszy, oddaje operatorowi kontrolę nad przejętymkomputerem poprzez funkcję SetTimer z Windows API. Oferuje łącznie30 komend, pozwalających m.in. na zdalne zrobienie zrzutów ekranu,podsłuch klawiatury, modyfikacje Rejestru, i zdalne uruchamianiekodu.
ESET przypomina, że ataki grupy Sednit brały na celownik takżekomputery fizycznie odizolowane od Internetu, wyłącznie w sieciachlokalnych – wówczas nośnikiem infekcji były przenośne pamięcimasowe, np. pendrive’y. Zwraca zarazem uwagę, że hakerzy sąnieco niechlujni, robią często literówki w nazwach procesów,zadań i plików. Na pewno jednak regularnie aktualizują iusprawniają swoje narzędzia, więc podobnych ataków jak tenostatni, wymierzony w placówki dyplomatyczne 18 państw, z ichstrony powinno być więcej.
Jak się zabezpieczyć? No cóż, downloadery sprawdzają, czyczasem nie uruchamiają się w środowisku zwirtualizowanym, a jeślitak, to kończą pracę. Oprócz więc standardowych opowieści oaktualnym systemie i antywirusie można po prostu zaproponowaćadministratorom mających wiele do ukrycia organizacji, by zmusiliużytkowników do czytania poczty tylko w maszynach wirtualnych.