Z Ázie do Ameriky: príbeh čínskej hekerskej myši

Z Ázie do Ameriky: príbeh čínskej hekerskej myši

Čína má množstvo hekerov schopných kompromitovať počítačové systémy po celom svete. Pred pár rokmi sa k nim pridala aj malá skupina hekerov, ktorá prišla v známosť ako LuckyMouse alebo APT27. Dnes patrí medzi najaktívnejšie zložky čínskych špionážnych síl.

APT27 alebo LuckyMouse je čínska hekerská skupina, ktorá od roku 2010 útočí na politikov, aktivistov, zástupcov menšín, ale aj obranný, letecký či automobilový priemysel a medzinárodné inštitúcie. Jej cieľom je získať prístup k strategickým dokumentom, patentom, utajovaným projektom alebo komunikácii obetí. Najnovšie však experimentujú aj s takzvaným cryptojackingom. Skupina pritom začínala celkom „skromne“ v juhovýchodnej Ázii.

Operácia Iron Tiger

Medzi rokmi 2010 a 2013 hekeri z tejto skupiny experimentovali s prvými útokmi na politikov, disidentov a akademikov z Číny, Tibetu, Hongkongu a Filipín. Hlavnou technikou ich útokov bol v tom čase spear-phishing. Vo svojich mailoch sa často vydávali za novinárov z BBC alebo AFP. Lenže kým ich kolegovia z APT1 sa preslávili veľmi detailnými e-mailmi a kvalitnou angličtinou, obsah správ od týchto hekerov sotva prekročil jeden riadok. Príloha tiež nestála za veľa – nachádzal sa v nej RAR súbor, v ktorom bol zabalený malvér.

Skupina teda operovala celkom skromne, obmedzene. Zväčša využívala verejne dostupné nástroje, obmedzovala sa len na vytypované osoby a spoliehala sa na všeobecne zaužívaný spear-phishing. Podľa správy bezpečnostnej firmy TrendMicro však táto taktika môže byť súčasťou čínskej stratégie, v ktorej sa podobné malé kampane rozdeľujú medzi jednotlivé špecializované skupiny.

Čo sa týka nástrojov, jedným z najzaujímavejších bol Dllshellexc2010 vlastnej „výroby“. Tento backdoor, ktorý inštalovali na mailový server obete, zachytával prihlasovacie údaje od mailového konta. Údaje boli následne ukladané vo formáte JPG (prípona obrázkov), hoci išlo o textový súbor. Ďalšími hojne užívanými nástrojmi boli PlugX a HttpBrowser.

Najväčším úlovkom z tohto obdobia bol, zdá sa, archív, v ktorom sa hekerom podarilo zhromaždiť až 58 gigabajtov dát od obetí.

LuckyMouse tak síce podnikal úspešné útoky, ale mal problémy zahladiť za sebou stopy. Bezpečnostní analytici z TrendMicro v spomínanej správe upozornili na meno Kuo Fej, ktorý si pod pseudonymami „phpxss“ a „ershao“ zaregistroval viacero domén. Malvér sa z počítača obete pripájal práve na tieto čínske weby, kde hľadal prístupové údaje na útočníkove C2 servery.

Riadiacim centrom, respektíve hlavným serverom bol pritom kompromitovaný server z akademického prostredia. O jeho slabom zabezpečení hovorí fakt, že sa doň poľahky dostali aj výskumníci a že bol využívaný aj na zdieľanie warezu. Kuo Fej sa na tento server pripájal cez viacero VPN serverov, ktoré patrili službe BAIGE-VPN. Služba je špecifická tým, že prijíma objednávky len z Číny.

Tieto indikátory spolu so správou, ktorú Kuo Fej zanechal na čínskom diskusnom fóre, viedli analytikov k záveru, že muselo ísť o páchateľa z Číny. Dôkazy o napojení na vládu sa však nenašli.

Zmena

Od roku 2013 možno pozorovať posun nielen v technike, ale aj mieste pôsobenia. Hoci boli podvrhnuté e-maily odsunuté na druhú koľaj a pri útokoch už slúžia len ako doplnok, ich príloha zaznamenala istý pokrok. Škodlivý softvér (často HttpBrowser) je ukrývaný do PDF súborov a jeho obsah je prispôsobený záujmom obetí.

Na hlavný spôsob infekcie bol povýšený útok typu watering-hole. Útočníci najprv infikujú webstránku, ktorú obeť často navštevuje, a potom vyčkávajú na stiahnutie softvéru. Za dva roky sa týmto spôsobom hekerom podarilo infikovať vyše stovku webov. Aby sa však útočníci rýchlo neprezradili, návštevníci týchto webov prechádzali cez „filter IP adries“, ktorý ponúkol malvér len vybraným obetiam. To svedčí jednak o pokroku pri zahladzovaní stôp (odhalenie infikovaných webov bolo kvôli filtrom náročnejšie), a jednak o pretrvávajúcom zameraní na konkrétne ciele.

Výskumníci z Dell SecureWorks zaznamenali takéto útoky na webstránky ujgurskej menšiny v Číne, ale aj na obranný priemysel, energetické spoločnosti, ambasády a mimovládne organizácie v USA a vo Veľkej Británii. Spojené štáty sa mimo to stali aj domovom pre riadiace C2 servery útočníkov, ktoré sa tam začali koncentrovať.

LuckyMouse dnes

V roku 2016 informovala bezpečnostná firma ThreatConnect o útokoch na nemenovanú francúzsku energetickú spoločnosť s projektmi v USA a na európskeho výrobcu dronov. Podľa nich by za útokom mohla stať práve skupina Emissary Panda, inak známa ako LuckyMouse.

Záujem o Európu pretrval aj v roku 2017, keď skupina mierila na tureckú vládu, bankovníctvo a akademické siete. K tomu pridali aj pár cieľov zo Spojených štátov z obranného priemyslu, u ktorých hľadali informácie o leteckých technológiách, námorných obranných systémoch alebo bojových postupoch. Svoje aktivity sa snažili utajiť pomocou vypínania procesov zaznamenávania a vymazávania logov.

Zhruba v rovnakom čase odhalila spoločnosť Bitdefender ďalšiu rozsiahlu operáciu nazvanú PZChao. Neznámi hekeri sa v nej zamerali na vládny, technologický, vzdelávací a telekomunikačný sektor v Ázii a USA. Správanie upraveného malvéru Gh0st RAT však naznačovalo, že mohlo ísť práve o aktéra, ktorý stál za operáciou Iron Tiger. Prvýkrát bol navyše počas tejto operácie použitý malvér na ťažbu Bitcoinu, ktorý bol nakonfigurovaný tak, aby ťažil menu len každé tri týždne o 3:00 ráno.

Poslednou známou aktivitou tejto skupiny je rozsiahly útok na národné datacentrum, ktorý sa začal na prelome rokov 2017 a 2018. Podľa informácií Cyberscoop by malo ísť o Mongolsko. Hekeri v tomto prípade nainfikovali webstránky vlády pomocou Javascriptu a rozoslali zamestnancom datacentra spear-phishingové emaily.

Čínske skupiny sa nezvyknú zaoberať maskovaním svojich kampaní. Na presmerovanie komunikácie medzi útočníkom a obeťou bol však v prípade Mongolska zneužitý router od Mikrotiku, ktorý patril ukrajinskému poskytovateľovi internetu. Táto myš tak zrejme chce dostať svojmu menu – pohybovať sa v zákutiach internetu potichu a nenápadne. Do budúcna preto možno rátať s ďalšou zmenou modu operandi.

Alternatívne názvyAPT27, LuckyMouse, Emissary Panda, Threat Group-3390 (TG-3390), Bronze Union, Iron Tiger
PrisudzovanéČína
Trvanie2010 – doteraz
Obetepolitici, organizácie a priemysel v Ázii, Európe a USA

(VK)