Кибервойны персидского залива.
В мае-июне 2019 года произошли утечки секретных данных, проливающие свет на недавние кибератаки неизвестных групп.
Развитие национальных подразделений информационной безопасности Ирана было простимулировано агрессивной политикой США. Дипломатические отношения эти страны официально разорвали с 1980 года. С тех пор они действуют по правилам необъявленной войны: шпионаж, регулярные провокации и диверсии вместо открытого противостояния. Интернет существенно расширил возможности разведки, позволяя достигать поставленных целей при минимальном риске.
В 2010 году спецслужбы США и Израиля провели совместную операцию против ядерной программы Ирана. Червь Stuxnet получил контроль над АСУ ТП и вывел из строя около тысячи центрифуг для обогащения урана. Это послужило мощным стимулом для ответных действий. Иранское правительство быстро осознало, что интернет и физический мир стали тесно связаны, а вот причастность конкретных лиц к атакам через глобальную сеть доказать очень трудно.
Если раньше иранская разведка в основном занималась радиоперехватом, то после памятного инцидента переключилась на интернет. Крупные реформы начались в 2011 году. На базе Департамента технологий и инноваций Министерства информации Ирана (MOIS) было создано киберподразделение RANA — аналог американского USCYBERCOM.
Уже к 2013 году, по оценкам израильского Института исследований национальнойбезопасности, Иран обладал существенным потенциалом, позволяющим проводить кибератаки против Израиля, США, Саудовской Аравии, Катара и других монархий Персидского залива. В 2015 году американская корпорация Defense Technology в своем докладе называет Иран одной из пяти главных угроз кибербезопасности.
Ситуация обострилась осенью 2017 года, когда Трамп открыто саботировал «ядерную сделку» с Ираном (JCPOA). Официальный выход из нее США состоялся в мае 2018 года — именно тогда наблюдалась мощная волна сетевых атак из Ирана.
По мнению западных аналитиков, сейчас иранские правительственные хакеры находятся под непосредственным контролем подразделения РЭБ и информационной безопасности КСИР (IRGC JANGAL), которое подчиняется Верховному совету по киберпространству (Supreme Council of Cyberspace) при Высшем совете национальной безопасности (Supreme Council of Security).
Так ли это в действительности — неизвестно. Как и любая разведка, иранская часто распространяет дезинформацию. Однако перечисленные ниже группы явно действуют в интересах исламской республики.
APT33
Эта группа занимается кибершпионажем как минимум последние шесть лет, а с 2017 года она прицельно атакует международные компании со штаб-квартирами в США, Южной Корее и Саудовской Аравии. Основные цели — аэрокосмические, энергетические и нефтехимические концерны. Возможно, APT33 также известна как MuddyWater или тесно сотрудничает с этой хакерской группой.
На первом этапе группа APT33 всегда использует таргетированный фишинг. Сотрудникам целевых компаний рассылаются тщательно подобранные по темам и оформлению электронные письма, содержащие вредоносное вложение. Обычно это приложение формата HTA (HTML Application), которое содержит JS- или VB-скрипты. Фишка в том, что оно выполняется в Windows без каких-либо проверок. Более того, оно не открывается в браузере, а запускается как отдельный процесс через Microsoft HTML Application Host и системную библиотеку mshtml.dll. Поэтому все настройки безопасности браузера оказываются бесполезны.
Чтобы письма выглядели убедительно, APT33 зарегистрировала несколько доменов с именами, похожими на названия авиационных компаний из Саудовской Аравии и их западных партнеров из сферы технического обслуживания. Среди них были поддельные адреса Boeing, Northrop Grumman, Alsalam Aircraft, Saudia Aerospace Engineering Industries и их совместных предприятий.
Досталось и гражданским авиакомпаниям. Под удар попали AirAsia, Thai Airways, Flydubai и Etihad Airways, которых атаковали через предварительно скомпрометированные аккаунты сотрудников по протоколам RDP (Windows) и ICA (Citrix Remote PC).
Для усыпления бдительности при открытии .hta жертве отображалась актуальная информация по теме письма. Например, реальные ссылки на вакансии для специалистов определенного профиля. Переходили по ним или нет — неважно. Вредоносные скрипты тихо выполнялись до прорисовки контента, собирая информацию о компьютере жертвы и подготавливая плацдарм для следующих этапов атаки.
Пример скрытого запуска скрипта в HTA:
Итогом просмотра вредоносного письма APT33 часто становился запуск трояна-дроппера DropShot. В качестве боевой нагрузки затем использовался бэкдор TurnedUp — отдельно или вместе с вайпером ShapeShift, также известным как StoneDrill. Он мог стирать файлы определенных типов, удалять отдельные разделы или форматировать накопители целиком.
В коде вайпера были обнаружены слова на языке фарси (официальный язык Ирана). Еще более характерный след — время проведения атак. Оно совпадает с летним временем Ирана (+04:30 UTC) и специфической рабочей неделей этой страны (с субботы по среду). В четверг государственные учреждения обычно закрыты. Дополнительно на Иран указывают использованные в начале атак DNS-серверы и тот факт, что все специфические инструменты (включая Alfa Shell) сначала обнаруживались на иранских теневых форумах.
Если успешно атакованный компьютер представлял интерес как плацдарм для подготовки дальнейших атак, то вместо уничтожения данных на нем внедрялся шелл, в частности Alfa Shell.
Страница настроек плагинов NanoCore
Поверхностный анализ процессов не позволял с ходу выявить NanoCore, поскольку он маскировался среди системных (использовался инжект .dll). Трафик на первый взгляд тоже казался безобидным — обмен пакетами происходил с узлами microsoftupdated.com и managehelpdesk.com, в реальности оказавшимися C&C-серверами.
После ареста Хадлстона в середине 2017 года APT33 переключилась на внедрение кейлоггера NetWire, чьи модификации применяются до сих пор. Его основное назначение — перехват клавиатурных нажатий в поисках паролей и другой конфиденциальной информации, однако возможность установить обратный прокси превращает NetWire в универсальный бэкдор.
Дополнительно в NetWire применяется обфускация, чтобы скрыть от защитных программ сбор паролей и другой конфиденциальной информации. Все технологии предотвращения утечек используют статистический анализ, который оказывается бесполезным, если конфиденциальные данные предварительно разбиваются на части и передаются по разным каналам.
Легкость портирования NetWire привела к тому, что его стали применять и в тех случаях, когда на целевых компьютерах была установлена Linux или macOS, но в большинстве случаев троян проникал в корпоративную сеть именно через «окна».
В феврале 2019 года техника доставки NetWire целевым компьютерам на платформе Windows изменилась. Была зарегистрирована масштабная фишинговая кампания с внедрением кода через PowerShell и .NET Framework.
Особенность в том, что сценарий PS может загрузить с произвольного URL сборку .NET непосредственно в память PowerShell и сразу выполнить ее в контексте процесса, не создавая PE-файлы на диске.
В ходе недавней фишинговой атаки сотрудникам авиакомпаний предлагалось открыть с Google.Disk VB-скрипт. Благодаря длинному названию и измененной иконке он выглядел как презентация нового самолета, технические характеристики известной модели или другие важные документы. Облачный сервис хранения позволил обойти правила файрвола и настройки браузера, блокирующие загрузки с сайтов, имеющих низкую репутацию.
Дальнейшая попытка открыть скрипт вызывала предупреждение о том, что его создатель не может быть проверен, однако большинство пользователей просто игнорировали это предупреждение и разрешали запуск вручную.
Код скачанного VB-скрипта был обфусцирован за счет частой конверсии hex-bin и использования множества переменных. Он запускал сценарий PowerShell, который загружал с www.paste.ee другой VB-скрипт. Этот сайт был выбран из-за использования TLS (невозможно проверить зашифрованный трафик).
Фрагмент обфусцированного PS-сценария с загрузкой дочернего скрипта
Если присмотришься к этому фрагменту кода, то увидишь, что в сценарии PS используются готовые методы .NET Framework. В примере выше использовали метод Load из дотнетовского класса System.Reflection.Assembly. Так хакеры смогли получить доступ к его элементам из PowerShell аналогично тому, как это делается в C#.
Интеграция .NET с PowerShell особенно привлекательна для злоумышленников, поскольку традиционные средства безопасности не умеют анализировать такую связку. Они проверяют только наличие потенциально опасных команд в сценариях PS и отдельно контролируют процессы .NET во время их выполнения.
Скрипт идентифицирует установленную версию .NET Framework и использует ее позже для динамического определения пути к рабочему каталогу. Декодированная сборка дроппера передается в метод Load в качестве аргумента, и полученный экземпляр класса сохраняется как переменная. Далее через нее происходит обращение к зашифрованным объектам дроппера.
На финальном этапе атаки используется метод R и расшифрованный троян NetWire инжектируется в дотнетовский консольный процесс Installer tool (InstallUtil.exe). Как же он это делает?
Когда вызывается метод R, автоматически запускается InstallUtil.exe в режиме ожидания. Блоки памяти приостановленного процесса перезаписываются боевой нагрузкой, код которой передается в качестве аргумента методу R. Как результат — поведенческие анализаторы молчат, трояна не видно в списке запущенных процессов, а механизм его попадания на компьютер крайне трудно восстановить при анализе логов.
Распространению трояна помогало и то, что второй скрипт копировался в \Appdata\Roaming. Этот каталог служит для синхронизации настроек приложений и прочих пользовательских данных между разными устройствами. Поэтому, когда пользователь с доменной учеткой авторизуется на другом компьютере той же локальной сети, вредоносный VB-скрипт автоматически копируется и на него тоже.
В мае-июне 2019 года произошли утечки секретных данных, проливающие свет на недавние кибератаки неизвестных групп.
Сопоставив их с отчетами аналитиков из CyberSky, FireEye, Cisco Talos и Symantec, можно выделить три хакерские группы, явно действующие в интересах правительства Ирана.
Они регулярно атакуют сети крупных компаний США и их партнеров на Ближнем Востоке, нанося чувствительный урон противнику его же оружием. Рассмотрим подробнее их инструментарий и общую стратегию.Развитие национальных подразделений информационной безопасности Ирана было простимулировано агрессивной политикой США. Дипломатические отношения эти страны официально разорвали с 1980 года. С тех пор они действуют по правилам необъявленной войны: шпионаж, регулярные провокации и диверсии вместо открытого противостояния. Интернет существенно расширил возможности разведки, позволяя достигать поставленных целей при минимальном риске.
В 2010 году спецслужбы США и Израиля провели совместную операцию против ядерной программы Ирана. Червь Stuxnet получил контроль над АСУ ТП и вывел из строя около тысячи центрифуг для обогащения урана. Это послужило мощным стимулом для ответных действий. Иранское правительство быстро осознало, что интернет и физический мир стали тесно связаны, а вот причастность конкретных лиц к атакам через глобальную сеть доказать очень трудно.
Если раньше иранская разведка в основном занималась радиоперехватом, то после памятного инцидента переключилась на интернет. Крупные реформы начались в 2011 году. На базе Департамента технологий и инноваций Министерства информации Ирана (MOIS) было создано киберподразделение RANA — аналог американского USCYBERCOM.
Уже к 2013 году, по оценкам израильского Института исследований национальнойбезопасности, Иран обладал существенным потенциалом, позволяющим проводить кибератаки против Израиля, США, Саудовской Аравии, Катара и других монархий Персидского залива. В 2015 году американская корпорация Defense Technology в своем докладе называет Иран одной из пяти главных угроз кибербезопасности.
Ситуация обострилась осенью 2017 года, когда Трамп открыто саботировал «ядерную сделку» с Ираном (JCPOA). Официальный выход из нее США состоялся в мае 2018 года — именно тогда наблюдалась мощная волна сетевых атак из Ирана.
По мнению западных аналитиков, сейчас иранские правительственные хакеры находятся под непосредственным контролем подразделения РЭБ и информационной безопасности КСИР (IRGC JANGAL), которое подчиняется Верховному совету по киберпространству (Supreme Council of Cyberspace) при Высшем совете национальной безопасности (Supreme Council of Security).
Так ли это в действительности — неизвестно. Как и любая разведка, иранская часто распространяет дезинформацию. Однако перечисленные ниже группы явно действуют в интересах исламской республики.
Вся информация в этой статье предоставлена в ознакомительных целях. Ни канал, ни автор не несут ответственности за любой возможный вред, причиненный данными материалами.
APT33
Эта группа занимается кибершпионажем как минимум последние шесть лет, а с 2017 года она прицельно атакует международные компании со штаб-квартирами в США, Южной Корее и Саудовской Аравии. Основные цели — аэрокосмические, энергетические и нефтехимические концерны. Возможно, APT33 также известна как MuddyWater или тесно сотрудничает с этой хакерской группой.
На первом этапе группа APT33 всегда использует таргетированный фишинг. Сотрудникам целевых компаний рассылаются тщательно подобранные по темам и оформлению электронные письма, содержащие вредоносное вложение. Обычно это приложение формата HTA (HTML Application), которое содержит JS- или VB-скрипты. Фишка в том, что оно выполняется в Windows без каких-либо проверок. Более того, оно не открывается в браузере, а запускается как отдельный процесс через Microsoft HTML Application Host и системную библиотеку mshtml.dll. Поэтому все настройки безопасности браузера оказываются бесполезны.
Чтобы письма выглядели убедительно, APT33 зарегистрировала несколько доменов с именами, похожими на названия авиационных компаний из Саудовской Аравии и их западных партнеров из сферы технического обслуживания. Среди них были поддельные адреса Boeing, Northrop Grumman, Alsalam Aircraft, Saudia Aerospace Engineering Industries и их совместных предприятий.
Досталось и гражданским авиакомпаниям. Под удар попали AirAsia, Thai Airways, Flydubai и Etihad Airways, которых атаковали через предварительно скомпрометированные аккаунты сотрудников по протоколам RDP (Windows) и ICA (Citrix Remote PC).
Для усыпления бдительности при открытии .hta жертве отображалась актуальная информация по теме письма. Например, реальные ссылки на вакансии для специалистов определенного профиля. Переходили по ним или нет — неважно. Вредоносные скрипты тихо выполнялись до прорисовки контента, собирая информацию о компьютере жертвы и подготавливая плацдарм для следующих этапов атаки.
Пример скрытого запуска скрипта в HTA:
<script>
a=new ActiveXObject("WScript.Shell");
a.run('%windir%\\System32\\cmd.exe /c powershell -window hidden -enc <encoded command>' 0);
</script>
Метод run объекта WScript.Shell используется для запуска внешних приложений через сервер сценариев Windows (Windows Script Host). В данном случае запускается отдельное консольное приложение со скрытым окном, которое автоматически завершается после выполнения (ключ /c). Для сокрытия другого окна в этом примере задается нулевое значение параметра intWindowStyle (указано в конце скрипта перед закрывающей скобкой).Итогом просмотра вредоносного письма APT33 часто становился запуск трояна-дроппера DropShot. В качестве боевой нагрузки затем использовался бэкдор TurnedUp — отдельно или вместе с вайпером ShapeShift, также известным как StoneDrill. Он мог стирать файлы определенных типов, удалять отдельные разделы или форматировать накопители целиком.
В коде вайпера были обнаружены слова на языке фарси (официальный язык Ирана). Еще более характерный след — время проведения атак. Оно совпадает с летним временем Ирана (+04:30 UTC) и специфической рабочей неделей этой страны (с субботы по среду). В четверг государственные учреждения обычно закрыты. Дополнительно на Иран указывают использованные в начале атак DNS-серверы и тот факт, что все специфические инструменты (включая Alfa Shell) сначала обнаруживались на иранских теневых форумах.
Если успешно атакованный компьютер представлял интерес как плацдарм для подготовки дальнейших атак, то вместо уничтожения данных на нем внедрялся шелл, в частности Alfa Shell.
Интерфейс Alfa Shell v.2
Этот многофункциональный хакерский инструмент использовался для продолжения атаки уже из локальной сети целевой компании. С него отправлялись фишинговые письма вышестоящим сотрудникам, сканировались порты, искались уязвимости и так далее.
Составление фишингового письма из Alfa Shell
Иногда вместо Alfa Shell на компьютер жертвы внедрялась известная «крыса» NanoCore за авторством Тейлора Хадлстона, ныне отбывающего тюремный срок в Хот-Спрингс. Функциональность этого бэкдора расширялась плагинами, а сам он не обнаруживался антивирусами из-за того, что его компоненты были зашифрованы. Отдельные модули также были защищены методами стеганографии (выглядели как изображения PNG). Декриптор не представлял угрозы с точки зрения поведенческого анализа, а сигнатур долгое время не было.
Страница настроек плагинов NanoCore
Поверхностный анализ процессов не позволял с ходу выявить NanoCore, поскольку он маскировался среди системных (использовался инжект .dll). Трафик на первый взгляд тоже казался безобидным — обмен пакетами происходил с узлами microsoftupdated.com и managehelpdesk.com, в реальности оказавшимися C&C-серверами.
После ареста Хадлстона в середине 2017 года APT33 переключилась на внедрение кейлоггера NetWire, чьи модификации применяются до сих пор. Его основное назначение — перехват клавиатурных нажатий в поисках паролей и другой конфиденциальной информации, однако возможность установить обратный прокси превращает NetWire в универсальный бэкдор.
Интерфейс NetWire
Он выполняет разведку и сбор пользовательских данных, после чего загружает их на C&C-сервер и ждет от него дальнейшие команды. NetWire использует собственный алгоритм шифрования данных, а затем отправляет их как лог-файл.
Дополнительно в NetWire применяется обфускация, чтобы скрыть от защитных программ сбор паролей и другой конфиденциальной информации. Все технологии предотвращения утечек используют статистический анализ, который оказывается бесполезным, если конфиденциальные данные предварительно разбиваются на части и передаются по разным каналам.
Легкость портирования NetWire привела к тому, что его стали применять и в тех случаях, когда на целевых компьютерах была установлена Linux или macOS, но в большинстве случаев троян проникал в корпоративную сеть именно через «окна».
В феврале 2019 года техника доставки NetWire целевым компьютерам на платформе Windows изменилась. Была зарегистрирована масштабная фишинговая кампания с внедрением кода через PowerShell и .NET Framework.
Особенность в том, что сценарий PS может загрузить с произвольного URL сборку .NET непосредственно в память PowerShell и сразу выполнить ее в контексте процесса, не создавая PE-файлы на диске.
В ходе недавней фишинговой атаки сотрудникам авиакомпаний предлагалось открыть с Google.Disk VB-скрипт. Благодаря длинному названию и измененной иконке он выглядел как презентация нового самолета, технические характеристики известной модели или другие важные документы. Облачный сервис хранения позволил обойти правила файрвола и настройки браузера, блокирующие загрузки с сайтов, имеющих низкую репутацию.
Дальнейшая попытка открыть скрипт вызывала предупреждение о том, что его создатель не может быть проверен, однако большинство пользователей просто игнорировали это предупреждение и разрешали запуск вручную.
Код скачанного VB-скрипта был обфусцирован за счет частой конверсии hex-bin и использования множества переменных. Он запускал сценарий PowerShell, который загружал с www.paste.ee другой VB-скрипт. Этот сайт был выбран из-за использования TLS (невозможно проверить зашифрованный трафик).
Фрагмент обфусцированного PS-сценария с загрузкой дочернего скрипта
Интеграция .NET с PowerShell особенно привлекательна для злоумышленников, поскольку традиционные средства безопасности не умеют анализировать такую связку. Они проверяют только наличие потенциально опасных команд в сценариях PS и отдельно контролируют процессы .NET во время их выполнения.
Скрипт идентифицирует установленную версию .NET Framework и использует ее позже для динамического определения пути к рабочему каталогу. Декодированная сборка дроппера передается в метод Load в качестве аргумента, и полученный экземпляр класса сохраняется как переменная. Далее через нее происходит обращение к зашифрованным объектам дроппера.
На финальном этапе атаки используется метод R и расшифрованный троян NetWire инжектируется в дотнетовский консольный процесс Installer tool (InstallUtil.exe). Как же он это делает?
Когда вызывается метод R, автоматически запускается InstallUtil.exe в режиме ожидания. Блоки памяти приостановленного процесса перезаписываются боевой нагрузкой, код которой передается в качестве аргумента методу R. Как результат — поведенческие анализаторы молчат, трояна не видно в списке запущенных процессов, а механизм его попадания на компьютер крайне трудно восстановить при анализе логов.
Распространению трояна помогало и то, что второй скрипт копировался в \Appdata\Roaming. Этот каталог служит для синхронизации настроек приложений и прочих пользовательских данных между разными устройствами. Поэтому, когда пользователь с доменной учеткой авторизуется на другом компьютере той же локальной сети, вредоносный VB-скрипт автоматически копируется и на него тоже.
