Кибервойны персидского залива.

В мае-июне 2019 года произошли утечки секретных данных, проливающие свет на недавние кибератаки неизвестных групп.

Сопоставив их с отчетами аналитиков из CyberSky, FireEye, Cisco Talos и Symantec, можно выделить три хакерские группы, явно действующие в интересах правительства Ирана.

Они регулярно атакуют сети крупных компаний США и их партнеров на Ближнем Востоке, нанося чувствительный урон противнику его же оружием. Рассмотрим подробнее их инструментарий и общую стратегию.

Развитие национальных подразделений информационной безопасности Ирана было простимулировано агрессивной политикой США. Дипломатические отношения эти страны официально разорвали с 1980 года. С тех пор они действуют по правилам необъявленной войны: шпионаж, регулярные провокации и диверсии вместо открытого противостояния. Интернет существенно расширил возможности разведки, позволяя достигать поставленных целей при минимальном риске.

В 2010 году спецслужбы США и Израиля провели совместную операцию против ядерной программы Ирана. Червь Stuxnet получил контроль над АСУ ТП и вывел из строя около тысячи центрифуг для обогащения урана. Это послужило мощным стимулом для ответных действий. Иранское правительство быстро осознало, что интернет и физический мир стали тесно связаны, а вот причастность конкретных лиц к атакам через глобальную сеть доказать очень трудно.

Если раньше иранская разведка в основном занималась радиоперехватом, то после памятного инцидента переключилась на интернет. Крупные реформы начались в 2011 году. На базе Департамента технологий и инноваций Министерства информации Ирана (MOIS) было создано киберподразделение RANA — аналог американского USCYBERCOM.

Уже к 2013 году, по оценкам израильского Института исследований национальнойбезопасности, Иран обладал существенным потенциалом, позволяющим проводить кибератаки против Израиля, США, Саудовской Аравии, Катара и других монархий Персидского залива. В 2015 году американская корпорация Defense Technology в своем докладе называет Иран одной из пяти главных угроз кибербезопасности.

Ситуация обострилась осенью 2017 года, когда Трамп открыто саботировал «ядерную сделку» с Ираном (JCPOA). Официальный выход из нее США состоялся в мае 2018 года — именно тогда наблюдалась мощная волна сетевых атак из Ирана.

По мнению западных аналитиков, сейчас иранские правительственные хакеры находятся под непосредственным контролем подразделения РЭБ и информационной безопасности КСИР (IRGC JANGAL), которое подчиняется Верховному совету по киберпространству (Supreme Council of Cyberspace) при Высшем совете национальной безопасности (Supreme Council of Security).

Так ли это в действительности — неизвестно. Как и любая разведка, иранская часто распространяет дезинформацию. Однако перечисленные ниже группы явно действуют в интересах исламской республики.

Вся информация в этой статье предоставлена в ознакомительных целях. Ни  канал, ни автор не несут ответственности за любой возможный вред, причиненный данными материалами.

APT33

Эта группа занимается кибершпионажем как минимум последние шесть лет, а с 2017 года она прицельно атакует международные компании со штаб-квартирами в США, Южной Корее и Саудовской Аравии. Основные цели — аэрокосмические, энергетические и нефтехимические концерны. Возможно, APT33 также известна как MuddyWater или тесно сотрудничает с этой хакерской группой.

На первом этапе группа APT33 всегда использует таргетированный фишинг. Сотрудникам целевых компаний рассылаются тщательно подобранные по темам и оформлению электронные письма, содержащие вредоносное вложение. Обычно это приложение формата HTA (HTML Application), которое содержит JS- или VB-скрипты. Фишка в том, что оно выполняется в Windows без каких-либо проверок. Более того, оно не открывается в браузере, а запускается как отдельный процесс через Microsoft HTML Application Host и системную библиотеку mshtml.dll. Поэтому все настройки безопасности браузера оказываются бесполезны.

Чтобы письма выглядели убедительно, APT33 зарегистрировала несколько доменов с именами, похожими на названия авиационных компаний из Саудовской Аравии и их западных партнеров из сферы технического обслуживания. Среди них были поддельные адреса Boeing, Northrop Grumman, Alsalam Aircraft, Saudia Aerospace Engineering Industries и их совместных предприятий.

Досталось и гражданским авиакомпаниям. Под удар попали AirAsia, Thai Airways, Flydubai и Etihad Airways, которых атаковали через предварительно скомпрометированные аккаунты сотрудников по протоколам RDP (Windows) и ICA (Citrix Remote PC).

Для усыпления бдительности при открытии .hta жертве отображалась актуальная информация по теме письма. Например, реальные ссылки на вакансии для специалистов определенного профиля. Переходили по ним или нет — неважно. Вредоносные скрипты тихо выполнялись до прорисовки контента, собирая информацию о компьютере жертвы и подготавливая плацдарм для следующих этапов атаки.

Пример скрытого запуска скрипта в HTA:

<script>

a=new ActiveXObject("WScript.Shell");

a.run('%windir%\\System32\\cmd.exe /c powershell -window hidden -enc <encoded command>' 0);

</script>

Метод run объекта WScript.Shell используется для запуска внешних приложений через сервер сценариев Windows (Windows Script Host). В данном случае запускается отдельное консольное приложение со скрытым окном, которое автоматически завершается после выполнения (ключ /c). Для сокрытия другого окна в этом примере задается нулевое значение параметра intWindowStyle (указано в конце скрипта перед закрывающей скобкой).

Итогом просмотра вредоносного письма APT33 часто становился запуск трояна-дроппера DropShot. В качестве боевой нагрузки затем использовался бэкдор TurnedUp — отдельно или вместе с вайпером ShapeShift, также известным как StoneDrill. Он мог стирать файлы определенных типов, удалять отдельные разделы или форматировать накопители целиком.

В коде вайпера были обнаружены слова на языке фарси (официальный язык Ирана). Еще более характерный след — время проведения атак. Оно совпадает с летним временем Ирана (+04:30 UTC) и специфической рабочей неделей этой страны (с субботы по среду). В четверг государственные учреждения обычно закрыты. Дополнительно на Иран указывают использованные в начале атак DNS-серверы и тот факт, что все специфические инструменты (включая Alfa Shell) сначала обнаруживались на иранских теневых форумах.

Если успешно атакованный компьютер представлял интерес как плацдарм для подготовки дальнейших атак, то вместо уничтожения данных на нем внедрялся шелл, в частности Alfa Shell.

Этот многофункциональный хакерский инструмент использовался для продолжения атаки уже из локальной сети целевой компании. С него отправлялись фишинговые письма вышестоящим сотрудникам, сканировались порты, искались уязвимости и так далее.

Иногда вместо Alfa Shell на компьютер жертвы внедрялась известная «крыса» NanoCore за авторством Тейлора Хадлстона, ныне отбывающего тюремный срок в Хот-Спрингс. Функциональность этого бэкдора расширялась плагинами, а сам он не обнаруживался антивирусами из-за того, что его компоненты были зашифрованы. Отдельные модули также были защищены методами стеганографии (выглядели как изображения PNG). Декриптор не представлял угрозы с точки зрения поведенческого анализа, а сигнатур долгое время не было.

Поверхностный анализ процессов не позволял с ходу выявить NanoCore, поскольку он маскировался среди системных (использовался инжект .dll). Трафик на первый взгляд тоже казался безобидным — обмен пакетами происходил с узлами microsoftupdated.com и managehelpdesk.com, в реальности оказавшимися C&C-серверами.

После ареста Хадлстона в середине 2017 года APT33 переключилась на внедрение кейлоггера NetWire, чьи модификации применяются до сих пор. Его основное назначение — перехват клавиатурных нажатий в поисках паролей и другой конфиденциальной информации, однако возможность установить обратный прокси превращает NetWire в универсальный бэкдор.

Он выполняет разведку и сбор пользовательских данных, после чего загружает их на C&C-сервер и ждет от него дальнейшие команды. NetWire использует собственный алгоритм шифрования данных, а затем отправляет их как лог-файл.

Дополнительно в NetWire применяется обфускация, чтобы скрыть от защитных программ сбор паролей и другой конфиденциальной информации. Все технологии предотвращения утечек используют статистический анализ, который оказывается бесполезным, если конфиденциальные данные предварительно разбиваются на части и передаются по разным каналам.

Легкость портирования NetWire привела к тому, что его стали применять и в тех случаях, когда на целевых компьютерах была установлена Linux или macOS, но в большинстве случаев троян проникал в корпоративную сеть именно через «окна».

В феврале 2019 года техника доставки NetWire целевым компьютерам на платформе Windows изменилась. Была зарегистрирована масштабная фишинговая кампания с внедрением кода через PowerShell и .NET Framework.

Особенность в том, что сценарий PS может загрузить с произвольного URL сборку .NET непосредственно в память PowerShell и сразу выполнить ее в контексте процесса, не создавая PE-файлы на диске.

В ходе недавней фишинговой атаки сотрудникам авиакомпаний предлагалось открыть с Google.Disk VB-скрипт. Благодаря длинному названию и измененной иконке он выглядел как презентация нового самолета, технические характеристики известной модели или другие важные документы. Облачный сервис хранения позволил обойти правила файрвола и настройки браузера, блокирующие загрузки с сайтов, имеющих низкую репутацию.

Дальнейшая попытка открыть скрипт вызывала предупреждение о том, что его создатель не может быть проверен, однако большинство пользователей просто игнорировали это предупреждение и разрешали запуск вручную.

Код скачанного VB-скрипта был обфусцирован за счет частой конверсии hex-bin и использования множества переменных. Он запускал сценарий PowerShell, который загружал с www.paste.ee другой VB-скрипт. Этот сайт был выбран из-за использования TLS (невозможно проверить зашифрованный трафик).

Если присмотришься к этому фрагменту кода, то увидишь, что в сценарии PS используются готовые методы .NET Framework. В примере выше использовали метод Load из дотнетовского класса System.Reflection.Assembly. Так хакеры смогли получить доступ к его элементам из PowerShell аналогично тому, как это делается в C#.

Интеграция .NET с PowerShell особенно привлекательна для злоумышленников, поскольку традиционные средства безопасности не умеют анализировать такую связку. Они проверяют только наличие потенциально опасных команд в сценариях PS и отдельно контролируют процессы .NET во время их выполнения.

Скрипт идентифицирует установленную версию .NET Framework и использует ее позже для динамического определения пути к рабочему каталогу. Декодированная сборка дроппера передается в метод Load в качестве аргумента, и полученный экземпляр класса сохраняется как переменная. Далее через нее происходит обращение к зашифрованным объектам дроппера.

На финальном этапе атаки используется метод R и расшифрованный троян NetWire инжектируется в дотнетовский консольный процесс Installer tool (InstallUtil.exe). Как же он это делает?

Когда вызывается метод R, автоматически запускается InstallUtil.exe в режиме ожидания. Блоки памяти приостановленного процесса перезаписываются боевой нагрузкой, код которой передается в качестве аргумента методу R. Как результат — поведенческие анализаторы молчат, трояна не видно в списке запущенных процессов, а механизм его попадания на компьютер крайне трудно восстановить при анализе логов.

Распространению трояна помогало и то, что второй скрипт копировался в \Appdata\Roaming. Этот каталог служит для синхронизации настроек приложений и прочих пользовательских данных между разными устройствами. Поэтому, когда пользователь с доменной учеткой авторизуется на другом компьютере той же локальной сети, вредоносный VB-скрипт автоматически копируется и на него тоже.

APT34 (aka OilRig)

В отличие от большинства хакерских групп, APT34 в своей стратегии редко использует методы социальной инженерии. Она ориентируется на уязвимости в массовом ПО, которые дают возможность удаленно выполнить произвольный код без сложного взаимодействия с пользователем.

Эта группа действует на Ближнем Востоке с 2014 года, в основном атакуя государственные учреждения региональных противников Ирана, их финансовые и телекоммуникационные компании. APT34 хорошо финансируется, о чем свидетельствует применение бэкдора собственной разработки и быстрая реакция на появление уязвимостей.

Пожалуй, самая сложная и многоэтапная атака была устроена APT34 в ноябре 2017 года вскоре после того, как Microsoft устранила критическую уязвимость CVE-2017-11882 в Office. Менее чем через неделю, когда еще не были опубликованы подробности, а большинство организаций не успело установить патч, APT34 успешно применила соответствующий эксплоит.

Схема внедрения бэкдора была сложной и позволила обойти традиционные средства защиты, включая репутационный и поведенческий анализ. Следи за руками…

К началу 2018 года сети правительственных учреждений в Саудовской Аравии и ряде других стран оказались заражены через письмо с вложением в формате RTF. Антивирусы его игнорировали, так как сигнатуры еще не было, а эвристический эмулятор не обнаруживал ничего подозрительного.

Файл .rtf открывался в MS Word, и Word (поскольку в нем были формулы) автоматически запускал входящий в состав MS Office редактор формул eqnedt32.exe. На момент атаки он содержал ошибку обработки объектов в памяти, позволявшую удаленно выполнить произвольный код с правами текущего пользователя.

Благодаря технологии OLE редактор формул доступен из всех документов MS Office. При вызове он создается как отдельный процесс и раньше не проверял длину данных на входе, поэтому через него легко было вызывать переполнение стека.

«Ну и что? — скажешь ты. — Windows давно размещает процессы в случайных адресах оперативки, поэтому толку от переполнения стека — ноль. Хакер не знает, куда попадет его код».

Фишка в том, что eqnedt32.exe — очень старый компонент. Он был скомпилирован еще в те времена, когда никакой рандомизации размещения адресного пространства (ASLR) в Windows не было. Поэтому редактор формул MS Office всегда загружался по одним и тем же адресам и заботливо размещал по фиксированному адресу «боевую нагрузку» вместо слишком длинных уравнений.

Редактор формул вызывал из kernel32.dll функцию WinExec, через которую от имени текущего пользователя запускался дочерний процесс mshta.exe (см. Microsoft HTML Application Host в описании техник другой группы — APT33). Он загружал с удаленного узла вредоносный VB-скрипт под видом текстового файла (все *.txt обычно исключены из проверки ради ее ускорения).

Далее у скачанного файла менялось расширение с .txt на .vbs, и он запускался на исполнение как локально созданный скрипт, обходя репутационный анализ.

На следующем шаге этот VB-скрипт создавал по адресу %SystemDrive%\ProgramData\Windows\Microsoft\java\ два файла в кодировке Base64: hUpdateCheckers.base и dUpdateCheckers.base — плюс батник cUpdateCheckers.bat и еще один скрипт с безобидным названием GoogleUpdateschecker.vbs.

Далее основной скрипт использовал стандартную утилиту командной строки CertUtil.exeдля декодирования Base64 и сохранял результат в виде пары сценариев PowerShell. Они также выглядели как локально созданные текущим пользователем и не вызывали подозрения у защитных программ.

Файл cUpdateCheckers.bat создавал в планировщике заданий автоматический запуск GoogleUpdateschecker.vbs и запускал дальнейшие процедуры после паузы в пять секунд, а затем батник и закодированные в Base64 файлы удалялись основным скриптом.

На финальном этапе из первого сценария PowerShell запускался троян-дроппер BondUpdater, который использовал процедуру генерации псевдослучайных доменных имен (DGA) для соединения с управляющим сервером. DGA сильно осложняла блокировку C&C-серверов, поскольку все их альтернативные имена было невозможно вычислить, не зная алгоритма.

После получения отклика троян запускал из второго PS-сценария бэкдор PowRuner и сообщал ему текущий адрес C&C. С этого момента зараженный компьютер полностью контролировался APT34 удаленно.

Интересно, что в 2017–2018 годах российская хакерская группа Turla использовала зараженные APT34 компьютеры для распространения собственных вредоносных программ, включая модификации на базе разработок АНБ. Подробнее об этом удивительном примере двойного взлома читай здесь.

APT39

Новая хакерская группа, действующая в интересах правительства Ирана. Возможно, ранее называлась Chafer или была тесно связана с ней. Самостоятельно стала выполнять масштабные атаки с начала 2019 года.

APT39 атакует провайдеров, операторов связи, дипломатические консульства, туристические агентства, отели и крупные ИТ-компании. С большой вероятностью группа делает это для сбора конфиденциальных данных и общих сведений о клиентах, чтобы задействовать их в будущих фишинговых кампаниях.

Как и многие группы, APT39 использует микс из собственных и общедоступных хакерских утилит. Среди последних наиболее часто встречается Mimikatz, перепакованная для обхода антивирусов. Это типичная ситуация, а вот использование PowBat (модификации бэкдора PowRuner) дает основание предположить взаимодействие APT39 с APT34 или доступ обеих групп к общим ресурсам.

Первая фаза атак APT39 стандартна и начинается с рассылки фишинговых писем. Для большей убедительности группа регистрирует домены, мимикрирующие под сайты организаций, потенциально интересных намеченным жертвам.

Также APT39 регулярно заражает уязвимые веб-серверы настоящих организаций и устанавливает на них веб-оболочку Antak или ASPXSPY. После этого хакерская группа рассылает фишинговые письма с настоящих адресов известных фирм — использует украденные на сайте учетные данные для компрометации внешних ресурсов Outlook Web Access (OWA).

На следующем этапе APT39 устанавливает контроль над целевыми компьютерами, внедряя на них бэкдоры PowBat, SeaWeed или CacheMoney. Их модификации попадаются экспертам с декабря 2018-го по настоящее время, но полагаться на сигнатуры сейчас было бы опрометчиво. Как правило, каждый раз в новых атаках используются слегка измененные варианты. Зловредов правят ровно настолько, чтобы их снова не обнаруживали антивирусы.

Техника доставки «боевой нагрузки» у новой группы сложная, и ее как раз изучают в настоящее время. В общих чертах она схожа с таковой у APT34. Обычно в качестве обертки используются модифицированные документы офисного формата, а управление передается вредоносному скрипту из-за малоизвестных особенностей парсинга документов.

Скрыть потенциально опасные действия позволяет локальная сборка бэкдора, части которого загружаются в виде безобидных файлов на разных этапах атаки. Каждая из них по отдельности не представляет угрозы и проходит все мыслимые проверки, а на финальном этапе выполняется сценарий PowerShell, который декодирует и запускает универсальный бэкдор.

Собираемые данные перед отправкой разбиваются на фрагменты и сохраняются в архив с парольной защитой (ZIP или RAR), после чего переименовываются (например, в .log). Сессии подбираются короткие, а удаленные серверы обычно имеют адреса, похожие на сайты обновлений. Поверхностный анализ трафика тоже не выявляет ничего подозрительного.

Выводы

Сейчас в интересах правительства Ирана действует несколько хакерских групп. У них перекликаются используемые компоненты, однако сильно различаются методы и конечные цели. APT33 часто применяет вайпер для удаленных диверсий, полагаясь при его внедрении в основном на социальную инженерию. APT34 преимущественно занимается шпионажем на уровне госучреждений, используя сложные эксплоиты и не надеясь на беспечность пользователей. APT39 пока собирает персональные данные, готовясь к чему-то большему.

Инструменты иранских хак-групп полностью оправдывают принадлежность к APT — сложным персистирующим угрозам. Из-за хорошей маскировки многоэтапного процесса внедрения бэкдора сам факт заражения часто остается незамеченным по несколько недель и даже месяцев.

Иногда в ходе рутинных проверок админы думают, что нашли и устранили типовую угрозу, в то время как они удалили только часть потенциально опасных файлов. С большой вероятностью компоненты зловреда будут вновь созданы по расписанию или загружены по команде управляющего сервера.

Полная переустановка ОС не решает проблему, так как после синхронизации данных из скомпрометированной учетной записи с большой вероятностью произойдет повторное заражение.

Универсального противодействия APT не существует. На сегодняшний день ни одно средство безопасности не обеспечивает автоматической защиты от таргетированных атак. Оно просто затрудняет их выполнение и мешает пользователям «выстрелить себе в ногу».