fbpx

В Казахстане обнаружена обширная операция по взлому

Иссле­до­ва­те­ли гово­рят, что про­дви­ну­тая хакер­ская груп­па исполь­зу­ет спе­ци­аль­но раз­ра­бо­тан­ные хакер­ские инстру­мен­ты, доро­гие ком­плек­ты для наблю­де­ния, мобиль­ные вре­до­нос­ные про­грам­мы и обо­ру­до­ва­ние для пере­хва­та радио­свя­зи, что­бы шпи­о­нить за казах­стан­ски­ми целя­ми.

Китай­ский постав­щик кибер­без­опас­но­сти Qihoo 360 опуб­ли­ко­вал в пят­ни­цу отчет раз­об­ла­ча­ю­щий хакер­ские опе­ра­ции, наце­лен­ные на стра­ну Казах­стан.
В чис­ло целей вхо­ди­ли отдель­ные лица и орга­ни­за­ции, охва­ты­ва­ю­щие все сфе­ры жиз­ни, такие как пра­ви­тель­ствен­ные учре­жде­ния, воен­ные, ино­стран­ные дипло­ма­ты, иссле­до­ва­те­ли, жур­на­ли­сты, част­ные ком­па­нии, сек­тор обра­зо­ва­ния, рели­ги­оз­ные дея­те­ли, пра­ви­тель­ствен­ные дис­си­ден­ты и ино­стран­ные дипло­ма­ты.

Кам­па­ния, по сло­вам Qihoo 360, была широ­кой, и, похо­же, ее про­ве­ла орга­ни­за­ция, обла­да­ю­щая зна­чи­тель­ны­ми ресур­са­ми, и обла­да­ю­щая воз­мож­но­стя­ми раз­ра­ба­ты­вать свои част­ные инстру­мен­ты взло­ма, поку­пать доро­гие шпи­он­ские про­грам­мы на рын­ке видео­на­блю­де­ния и даже вкла­ды­вать сред­ства в радио­ап­па­ра­ту­ру пере­хва­та свя­зи.

При­зна­ки ука­зы­ва­ют на то, что неко­то­рые ата­ки осно­вы­ва­лись на отправ­ке целя­ми тща­тель­но создан­ных элек­трон­ных писем с вре­до­нос­ны­ми вло­же­ни­я­ми (spear-phishing), в то вре­мя как дру­гие пола­га­лись на физи­че­ский доступ к устрой­ствам, пред­ла­гая исполь­зо­вать поле­вых опе­ра­тив­ни­ков, раз­вер­ну­тых в Казах­стане.

ЗНАКОМЬТЕСЬ, ЗОЛОТОЙ СОКОЛ

Иссле­до­ва­те­ли Qihoo назва­ли груп­пу, сто­я­щую за этой обшир­ной кам­па­ни­ей Golden Falcon (или APT-C-34). Китай­ский постав­щик услуг без­опас­но­сти заявил, что груп­па была новой, но когда ZDNet обра­тил­ся к Кас­пер­ско­му, нам ска­за­ли, что Golden Falcon, по-види­мо­му, явля­ет­ся еще одним назва­ни­ем DustSquad, орга­ни­за­ции кибер­шпи­о­на­жа, кото­рая актив­на с 2017 года.

Един­ствен­ный отчет, подроб­но опи­сы­ва­ю­щий его преды­ду­щие опе­ра­ции взло­ма, отно­сит­ся к 2018 году, когда он был заме­чен с исполь­зо­ва­ни­ем фишинг-писем, кото­рые при­во­дят поль­зо­ва­те­лей к заши­той вре­до­нос­ным про­грам­мам вер­сии Telegram.

Как и ата­ки, задо­ку­мен­ти­ро­ван­ные Qihoo на этой неде­ле, ата­ки 2018 года так­же были направ­ле­ны на Казах­стан, но исполь­зо­ва­ли дру­гой тип вре­до­нос­но­го ПО.

Новый отчет Qihoo осно­ван, глав­ным обра­зом, на дан­ных, кото­рые китай­ская ком­па­ния полу­чи­ла после того, как полу­чи­ла доступ к одно­му из команд­но-кон­троль­ных сер­ве­ров (C & C) Golden Falcon, отку­да они полу­чи­ли опе­ра­тив­ные дан­ные о дея­тель­но­сти груп­пы.

Здесь китай­ская фир­ма заяви­ла, что обна­ру­жи­ла дан­ные, полу­чен­ные от зара­жен­ных жертв. Собран­ные дан­ные каса­лись в основ­ном офис­ных доку­мен­тов, взя­тых со взло­ман­ных ком­пью­те­ров.

Вся укра­ден­ная инфор­ма­ция была раз­ме­ще­на в пап­ках по горо­дам, каж­дая пап­ка горо­да содер­жа­ла дан­ные на каж­дом зара­жен­ном хосте. Иссле­до­ва­те­ли заяви­ли, что нашли дан­ные о жерт­вах, рас­по­ло­жен­ных в Казах­стане в 13 круп­ней­ших горо­дах и более.

Дан­ные были зашиф­ро­ва­ны, но иссле­до­ва­те­ли ска­за­ли, что смог­ли их рас­шиф­ро­вать. Внут­ри они так­же нашли дока­за­тель­ства того, что Золо­той Сокол так­же шпи­о­нил за ино­стран­ны­ми граж­да­на­ми в стране — в каче­стве мише­ни Qihoo назвал китай­ских ино­стран­ных сту­ден­тов и китай­ских дипло­ма­тов.

ДОРОГИЕ ХАКЕРСКИЕ ИНСТРУМЕНТЫ

Фай­лы на C & C‑сервере пока­за­ли, какие типы хакер­ских инстру­мен­тов исполь­зо­ва­ла эта груп­па. Два инстру­мен­та выде­ля­лись. Пер­вой была вер­сия RCS (Remote Control System), ком­плект для наблю­де­ния, про­да­ва­е­мый ита­льян­ским постав­щи­ком HackingTeam. Вто­рым был заку­лис­ный тро­ян по име­ни Гар­пун (Гар­пун на рус­ском язы­ке), кото­рый, похо­же, был раз­ра­бо­тан самой груп­пой.
Что каса­ет­ся исполь­зо­ва­ния RCS, то выде­ля­лось то, что Golden Falcon исполь­зо­вал новую вер­сию RCS. Номер вер­сии RCS важен, пото­му что в 2015 году хакер взло­мал, а затем про­пу­стил все внут­рен­ние фай­лы HackingTeam, вклю­чая исход­ный код для RCS.

В то вре­мя номер вер­сии RCS был 9,6. Соглас­но Qihoo, номер вер­сии для экзем­пля­ров RCS, кото­рые они нашли в рас­по­ря­же­нии Golden Falcon, был 10.3, более новая вер­сия, озна­чая, что груп­па, ско­рее все­го, купи­ла более новую вер­сию у сво­е­го дис­три­бью­то­ра.

Но у Золо­то­го Соко­ла был еще один мощ­ный инстру­мент. Qihoo гово­рит, что груп­па исполь­зо­ва­ла уни­каль­ный бэк­дор, кото­рый не был заме­чен вне опе­ра­ций груп­пы и, ско­рее все­го, был их соб­ствен­ным созда­ни­ем.

Китай­ский про­да­вец ска­зал, что полу­чил копию руко­вод­ства по это­му инстру­мен­ту. Неяс­но, нашли ли они руко­вод­ство на C & C‑сервере груп­пы или полу­чи­ли его из дру­го­го источ­ни­ка. Руко­вод­ство, одна­ко, пока­зы­ва­ет хоро­шо раз­ра­бо­тан­ный инстру­мент с боль­шим набо­ром функ­ций, наравне со мно­ги­ми из самых попу­ляр­ных на сего­дняш­ний день тро­ян­ских про­грамм.

Осо­бен­но­сти вклю­ча­ют в себя:

  • Keylogging
  • Кра­жа дан­ных буфе­ра обме­на
  • Сде­лать сни­мок актив­но­го окна через задан­ные интер­ва­лы
  • Спи­сок содер­жи­мо­го дан­но­го ката­ло­га
  • Полу­че­ние логи­на Skype, спи­сок кон­так­тов и исто­рию сооб­ще­ний чата
  • Полу­че­ние Skype и Google Hangouts кон­так­тов и голо­со­вые запи­си
  • Запись зву­ка через мик­ро­фон, про­слу­ши­ва­ние
  • Копи­ро­ва­ние ука­зан­ных фай­лов с целе­во­го ком­пью­те­ра
  • Авто­ма­ти­че­ское копи­ро­ва­ние фай­лов со съем­но­го носи­те­ля
  • Хра­не­ние всех пере­хва­чен­ных дан­ных в зашиф­ро­ван­ном фай­ле дан­ных, в ука­зан­ном ката­ло­ге
  • Отправ­ка укра­ден­ных дан­ных на ука­зан­ный FTP-сер­вер
  • Запуск про­грам­мы или коман­ды опе­ра­ци­он­ной систе­мы
  • Загруз­ка фай­лов с дан­но­го FTP в опре­де­лен­ный ката­лог
  • Уда­лен­ная пере­на­строй­ка и обнов­ле­ние ком­по­нен­тов
  • Полу­че­ние фай­лов дан­ных с дан­но­го FTP и авто­ма­ти­че­ское извле­че­ние фай­лов в ука­зан­ный ката­лог
  • Само­раз­ру­ше­ние

Боль­шин­ство функ­ций, пере­чис­лен­ных выше, явля­ют­ся нор­мой для боль­шин­ства бэк­дор-тро­я­нов высо­ко­го уров­ня, обыч­но встре­ча­ю­щих­ся в кибер­шпи­о­на­же на наци­о­наль­ном уровне.

МОБИЛЬНОЕ ВРЕДОНОСНОЕ ПО

Но, иссле­до­ва­те­ли Qihoo так­же обна­ру­жи­ли допол­ни­тель­ные фай­лы, такие как кон­трак­ты, пред­по­ло­жи­тель­но под­пи­сан­ные груп­пой.
Важ­но отме­тить, что груп­пы кибер­шпи­о­на­жа не остав­ля­ют кон­трак­ты на сер­ве­рах C & C. Неяс­но, были ли эти кон­трак­ты обна­ру­же­ны на C & C‑сервере Golden Falcon или полу­че­ны из дру­гих источ­ни­ков.

Один из этих кон­трак­тов, по-види­мо­му, каса­ет­ся закуп­ки мобиль­но­го инстру­мен­та­рия для наблю­де­ния, извест­но­го как Pegasus. Это мощ­ный инстру­мент для взло­ма мобиль­ных устройств с вер­си­я­ми для Android и iOS, про­да­ва­е­мый NSO Group.

Кон­тракт пред­по­ла­га­ет, что Golden Eagle, по край­ней мере, про­явил инте­рес к при­об­ре­те­нию инстру­мен­тов наблю­де­ния NSO на Android и iOS. Неяс­но, был ли кон­тракт когда-либо завер­шен с про­да­жей, посколь­ку Qihoo не нашел ника­ких дока­за­тельств Pegasus NSO вне кон­трак­та.

В любом слу­чае, у Golden Eagle были воз­мож­но­сти для мобиль­но­го взло­ма. Эта воз­мож­ность была предо­став­ле­на с помо­щью вре­до­нос­но­го ПО Android, постав­ля­е­мо­го HackingTeam.
Qihoo ска­зал, что вре­до­нос­ное ПО, кото­рое они про­ана­ли­зи­ро­ва­ли, вклю­ча­ет 17 моду­лей с раз­лич­ны­ми функ­ци­я­ми: от про­слу­ши­ва­ния аудио до отсле­жи­ва­ния исто­рии бра­у­зе­ра, от кра­жи жур­на­лов чата до отсле­жи­ва­ния гео­гра­фи­че­ско­го место­по­ло­же­ния жерт­вы.

АППАРАТУРА РАДИОПЕРЕХВАТА

Вто­рой набор кон­трак­тов пока­зал, что Golden Falcon так­же при­об­рел обо­ру­до­ва­ние у Yurion, мос­ков­ско­го обо­рон­но­го под­ряд­чи­ка, кото­рый спе­ци­а­ли­зи­ру­ет­ся на радио­кон­тро­ле, про­слу­ши­ва­нии и дру­гом ком­му­ни­ка­ци­он­ном обо­ру­до­ва­нии.

Опять же, Qihoo толь­ко поде­ли­лась подроб­но­стя­ми о суще­ство­ва­нии кон­трак­та, но не смог­ла ска­зать, было ли обо­ру­до­ва­ние куп­ле­но или исполь­зо­ва­но — так как такие воз­мож­но­сти выхо­дят за рам­ки инстру­мен­тов, име­ю­щих­ся в рас­по­ря­же­нии обыч­ной ком­па­нии по раз­ра­бот­ке про­грамм­но­го обес­пе­че­ния для обес­пе­че­ния без­опас­но­сти.

ОТСЛЕЖИВАНИЕ УЧАСТНИКОВ?

Китай­ская фир­ма по кибер­без­опас­но­сти так­же заяви­ла, что высле­ди­ла несколь­ких чле­нов «Золо­то­го соко­ла» по дета­лям, остав­лен­ным в легаль­ных циф­ро­вых под­пи­сях, пред­по­ло­жи­тель­но най­ден­ных в кон­трак­тах, кото­рые они обна­ру­жи­ли.
Иссле­до­ва­те­ли ска­за­ли, что они отсле­жи­ва­ли четы­рех участ­ни­ков Золо­то­го Соко­ла и одну орга­ни­за­цию.
Исполь­зуя дан­ные, остав­лен­ные без цен­зу­ры на скрин­шо­те, предо­став­лен­ном Qihoo, мы смог­ли отсле­дить одно­го из чле­нов груп­пы по про­фи­лю LinkedIn, при­над­ле­жа­ще­му мос­ков­ско­му про­грам­ми­сту, кото­ро­го китай­ская фир­ма назва­ла «тех­ни­че­ским инже­не­ром» для Golden Falcon.

НЕТ ОФИЦИАЛЬНОГО ПРИЗНАНИЯ — НО МНОЖЕСТВО ТЕОРИЙ

Ни Qihoo, ни Kaspersky, в сво­ем отче­те за 2018 год, не дела­ют ника­кой офи­ци­аль­ной ссыл­ки на эту груп­пу. Един­ствен­ная деталь, кото­рую они раз­де­ля­ли, заклю­ча­лась в том, что это был рус­ско­языч­ный APT (про­дви­ну­тая посто­ян­ная угро­за — тех­ни­че­ский тер­мин, исполь­зу­е­мый для опи­са­ния про­дви­ну­тых хакер­ских под­раз­де­ле­ний, под­дер­жи­ва­е­мых госу­дар­ством).

Во вре­мя иссле­до­ва­ния этой ста­тьи ZDNet попро­сил несколь­ких ана­ли­ти­ков выска­зать свое мне­ние.

Наи­бо­лее рас­про­стра­нен­ные тео­рии, кото­рые мы слы­ша­ли, заклю­ча­лись в том, что это «выгля­дит» как
(1) рос­сий­ская APT,
(2) раз­ве­ды­ва­тель­ная служ­ба Казах­ста­на, шпи­о­ня­щая за сво­и­ми граж­да­на­ми,
(3) рос­сий­ская наем­ная груп­па, выпол­ня­ю­щая шпи­о­наж для пра­ви­тель­ства Казах­ста­на по тре­бо­ва­нию — - послед­ние два явля­ют­ся наи­бо­лее рас­про­стра­нен­ным отве­том.

Одна­ко сле­ду­ет отме­тить, что эти аргу­мен­ты субъ­ек­тив­ны и не осно­ва­ны на каких-либо фак­ти­че­ских суще­ствен­ных дока­за­тель­ствах.

Исполь­зо­ва­ние про­грамм­но­го обес­пе­че­ния для наблю­де­ния HackingTeam и рас­сле­до­ва­ние покуп­ки воз­мож­но­стей мобиль­но­го взло­ма NSO Group дей­стви­тель­но пока­зы­ва­ют, что это дей­стви­тель­но может быть упол­но­мо­чен­ный пра­во­охра­ни­тель­ный орган.

Тем не менее, Qihoo так­же отме­тил, что неко­то­рые из целей (жертв) этой хакер­ской кам­па­нии были так­же китай­ски­ми пра­ви­тель­ствен­ны­ми чинов­ни­ка­ми на севе­ро-запа­де Китая, что озна­ча­ет, что если это были казах­стан­ские пра­во­охра­ни­тель­ные орга­ны, то они серьез­но пре­вы­си­ли свою юрис­дик­цию.

Отчет Qihoo Golden Falcon досту­пен здесь на китай­ском язы­ке и здесь на англий­ском, пере­ве­ден с помо­щью Google Translate.

Отчет содер­жит допол­ни­тель­ную тех­ни­че­скую инфор­ма­цию о вре­до­нос­ном ПО, исполь­зу­е­мом в этих ата­ках, инфор­ма­цию, кото­рую мы не вклю­чи­ли в наше осве­ще­ние, посколь­ку она была слиш­ком тех­ни­че­ской.

Автор: By Catalin Cimpanu for Zero Day | November 23, 2019 — 08:00 GMT (08:00 GMT) | Topic: Security

Ори­ги­нал ста­тьи: ZDNet