В конце октября словацкая антивирусная компания ESET выпустила исследование, в котором изучила деятельность хакерской группы Sednit (также известна как APT28, Fancy Bear и Sofacy) с 2014 года. Эта организация существует как минимум с 2004 года, и ее основной целью является кража конфиденциальной информации у определенных целей. Как удалось выяснить ESET, за последние два года среди них были более 1000 высокопоставленных лиц, вовлеченных в восточноевропейскую политику, включая и украинских чиновников. Для атак на владельцев устройства Apple с операционной системой Mac OS X хакеры использовали уязвимость в приложении MacKeeper, разработанном украинской компанией ZEO Alliance.
Непростые хакеры
Хакерская группировка Sednit Group известна специалистам по информационной безопасности с 2004 года. Ее основной целью является кража конфиденциальной информации, в основном – в сфере геополитики. За последние два года, которые рассматриваются в исследовании ESET, активность хакеров значительно возросла. Среди наиболее известных предполагаемых целей – взлом Национального комитета Демократической партии США, немецкого парламента и французской телевизионной сети TV5Mode. «Группа Sednit имеет особые интересы в Восточной Европе, где она регулярно атакует определенных людей и организации, связанные с геополитикой», – говорится в исследовании ESET.
Для таких крупных целей нужны и серьезные методы, которых, как оказалось, у Sednit достаточно. Так, группа регулярно находит 0-day-уязвимости – за прошлый год она использовала минимум шесть ранее неизвестных «дыр» в безопасности. Для поиска и разработки таких уязвимостей необходимы серьезные ресурсы в виде специалистов высокого класса и времени, или крупные бюджеты для покупки эксплоитов.
В арсенале Sednit также множество вредоносных программ собственной разработки. Это десятки видов продвинутого ПО вроде модульных бэкдоров или буткита/руткита Downdelph. Исследователи разбили все программы злоумышленников на три категории: ПО для разведки зараженных машин, шпионские зловреды и программы для заражения других компьютеров в сети.
Российский след
Кто может предоставить такие ресурсы и откуда работают эти хакеры? В словацкой компании аккуратно заявляют: «Многое говорится о том, что группа Sednit связана с российскими субъектами, и мы не можем ничего добавить к этой дискуссии». Некоторые следы того, что хакеры действительно связаны с Россией, ESET все-таки найти удалось.
Одна из зацепок – использование в названиях некоторых файлов и комментариев к коду русского языка. Так исходный код бэкдора Xagent, конфигурации сервера Xagent C&C и бинарные файлы Xtunnel все содержат следы русского. «Xtunnel» – имя, данное разработчиками программы. Это исследователи определили по имени экспортируемой таблицы функции, которую авторы не удалили в нескольких образцах ПО. Они также забыли убрать пути к файлам в базе данных программы, некоторые из которых содержат папки вроде «копия» и «Новая папка».
Из log-файлов, содержащихся в открытой папке прокси, ESET делает вывод, что это был Windows-сервер с русской локализацией – консоль Python выводит сообщения об ошибке на русском.
Еще одно подтверждение – время активности хакеров. Оно соответствует рабочим часам с 9:00 до 17:00 во временной зоне UTC+3, в которой находится европейская часть РФ.
Одной из тактик хакеров была рассылка со ссылками на новости на поддельных сайтах, адреса которых схожи с мировыми изданиями (например, theguardiannews.org вместо theguardian.com). «В большинстве случаев, которые мы анализировали, приманкой служили новости о геополитике, но мы также нашли несколько случаев, когда использовались настоящие веб-сайты российских компаний», – отмечают в исследовании.
Помимо таких объективных зацепок, косвенными уликами могут служить и цели атаки.
Стратегия атак
Для заражения целей хакеры использовали фишинг – рассылку электронных писем, содержащих ссылку, ведущую на подставной сайт, или скомпрометированный документ, загружающий вредоносное ПО. Когда пользователь попадался “на крючок” и нажимал на ссылку, либо открывал файл – короткий скрипт собирал информацию о нем и отправлял хакерам. Если пользователь определялся как интересный – ему загружался вирус, который собирал информацию с его компьютера и пытался распространится на другие компьютеры сети.
Список целей хакеров исследователям удалось получить благодаря ошибке одного из исполнителей. В одной из фишинговых кампаний для сокращения ссылок хакеры использовали сервис Bitly. Для этого они создали на нем несколько аккаунтов, один из которых был публичным. Это позволяет любому увидеть список URL-адресов, которые сокращал пользователь, с точным временем его действий.
Каждый URL содержал email-адрес и имя цели. В пример в исследовании приводится следующий адрес: http://login.accoounts-google.com/url/?continue=cGFyZXBreWl2QGdtYWlsLmNvbQ==&df=UGFraXN0YW4rRW1iYXNzeStLeWl2&tel=1
Параметры continue и df содержат закодированные в base64 почтовый адрес “[email protected]” и значение “Pakistan+Embassy+Kyiv”. Таким образом в ESET смогли легко определить цели хакеров. В данном случае речь идет о посольстве Пакистана в Киеве.
В целом, в публичном аккаунте Bit.ly содержалось около 4400 URL-адресов, сокращенных в период с 16 марта по 14 сентября 2015 года. Имя одной цели могло содержаться в нескольких адресах, что, вероятно, свидетельствуют о множественных попытках взлома некоторых жертв. Всего в списке 1 888 уникальных целей, большинство из которых имеют почтовые ящике на сервисе Gmail. Данные более половины атакуемых содержатся в ссылках лишь раз и в большинстве этих случаев жертвы кликали на сокращенные ссылки. Если жертва не нажимала на ссылку с первого раза, ей продолжали отправлять письма. Так, девять наиболее осторожных целей пробовали одурачить девять раз.
Высокопоставленные цели
Поскольку большинство ящиков пострадавших зарегистрировано на почтовом сервисе Google, они в основном принадлежат отдельным личностям. Но некоторые организации также используют Gmail. Среди них посольства Бразилии, Индии, Ирака, Северной Кореи, Кыргызстана, Пакистана, Туркменистана, ОАЭ, Узбекистана и других стран; Министерства обороны Аргентины, Бангладеша, Южной Кореи и Турции. Самыми крупными целями являются Национальный комитет демократической партии США (май 2016 года), немецкий парламент (май 2015 года), французская телевизионная сеть TV5Monde (апрель 2015 года).
Список индивидуальных целей также является косвенной уликой в пользу российского следа в группе Sednit. Хакеры атаковали сотрудников институций НАТО, членов российского ПАРНАСа и либерально-демократической партии РФ; политических диссидентов; хакерскую группировку «Шалтай-Болтай», известную обнародованием переписок российских политиков; журналистов, базирующихся в Восточной Европе; академиков, посещавших российские университеты; чеченские организации.
Украина под прицелом
Среди украинских целей в исследовании упоминаются Министерство обороны, «политические лидеры и главы полиции Украины». В исследовании также приводится конкретный пример фишинговой атаки с письмом, которое рассылалось якобы от Всеукраинского академического союза. В письме указан реальный адрес организации, а адрес отправителя был создан хакерами на одном из бесплатных почтовых сервисов.
В ответ на запрос редакции AIN.UA в ESET сообщили, что известили о совершенных на них атаках все государственные органы и другие организации. При этом, поскольку многие фишинговые атаки были совершены на электронные адреса частных лиц, не все конечные цели можно идентифицировать.
«В тех случаях, когда это возможно, когда цели или жертвы атак могут быть идентифицированы, мы информируем компетентные органы и самих жертв. В данном случае мы проинформировали все значимые цели атаки», – отметили в пресс-службе компании.
Помимо пострадавших, в исследовании есть еще одна связь с Украиной. Среди способов заражения целей, которыми пользовались хакеры, упоминается уязвимость программы MacKeeper, которую пользователи операционной системы Apple OS X используют для «очистки» системы.
Она разработана украинской компанией ZEO Alliance, которой в прошлом году пришлось выплатить $1,3 млн в рамках урегулирования судебного иска от американских пользователей. В конце прошлого года у MacKeeper случилась утечка пользовательских данных. Тогда исследователь Крис Викери смог найти информацию о 13 млн пользователей приложения с помощью специального поисковика shodan.io. Компания оперативно устранила уязвимость.
В этот раз уязвимость, использованная Sednit, при посещении поддельного сайта пользователем MacKeeper позволяла запросить у него пароль для очередной “очистки от вирусов”. Ничего не подозревающий пользователь вводил пароль, разрешая скачивание вируса и его исполнения с правами администратора.
На запрос AIN.UA относительно уязвимости, которая, по утверждению ESET, была использована хакерами, в компании ответили, что она была устранена в течение нескольких часов после обнаружения. «Обновление не было жестко принудительным, но согласно нашей статистике, его запустили 100% пользователей. Мы не фиксировали случаев использование уязвимости против наших пользователей, тем не менее, ранние версии продукта могут быть доступны для скачивания на внешних директориях», – отметили в пресс-службе ZEO Alliance.
В ESET все же утверждают, что хакеры Sednit воспользовались уязвимостью в продукте украинской компании. «Ограниченная видимость реальных жертв, атакованных эксплойтами, использовавшимися Sednit, не позволяет с точностью утверждать об успешном совершении атаки с помощью данного эксплойта. Что мы можем с уверенностью подтвердить, так это факт, что Sednit использовал данный эксплойт в “дикой” среде для инфицирования целей, использующих платформу OS X», – заявляют в словацкой антивирусной компании. В ней объясняют, что пользователи зачастую игнорируют обновления, которые предлагает им программа. Именно поэтому эксплойт мог быть использован и после того, как ZEO Alliance устранила уязвимость.
Деятельность таких группировок, как Sednit, доказывает, что хакеры, имеющие достаточные ресурсы, могут вести целенаправленную подрывную работу годами. Особую опасность представляет то, что в течение двух лет им удалось использовать шесть ранее неизвестных уязвимостей. Даже при быстром реагировании компаний по их устранению, некоторые пользователи могут оставаться подверженными взлому. Все же, следы операций хакеров можно обнаружить. В последней части исследования ESET содержится список идентификаторов угроз: возможным целям, среди которых и украинские чиновники, стоит проверить свои компьютеры на наличие таких угроз.