Команда исследователей Check Point Research (CPR), подразделения Check Point® Software Technologies Ltd., ведущего поставщика решений в области кибербезопасности по всему миру, обнаружила активную операцию по кибершпионажу, мишенью которой стало правительство Афганистана.
Предположительно, за данную операцию ответственна группа китайских хакеров. Злоумышленники представлялись сотрудниками администрации президента Афганистана, чтобы проникнуть в системы Совета национальной безопасности (СНБ), а также использовали Dropbox для прикрытия своей деятельности. Эксперты Check Point Research считают, что эта атака стала последней в длительной операции, которая началась еще в 2014 году. Тогда жертвами кибершпионажа также стали Киргизия, Узбекистан и другие страны.
Что происходило:
- Злоумышленники отправляли поддельное электронное письмо с призывом срочно выполнить действия, связанные с предстоящей пресс-конференцией СНБ.
- Чтобы скрыть следы преступления, они использовали Dropbox. API этого облачного сервиса выполняло функцию центра командования и управления (C&C).
- Команда CPR зафиксировала действия злоумышленников, в том числе доступ к файлам на рабочем столе, внедрение инструмента сканирования и выполнения встроенных сетевых утилит Windows.
«Из администрации президента Афганистана»
Расследование Check Point Research началось в апреле, когда чиновник Совета национальной безопасности Афганистана получил электронное письмо, якобы отправленное из администрации президента. Письмо содержало просьбу срочно проверить изменения в документе, связанном с предстоящей пресс-конференцией СНБ.
Цепочка заражения начинается с обмана на уровне двух министерств
Команда Check Point Research кратко представила методику кибершпионажа в виде следующего алгоритма:
- Отправка электронного письма от имени авторитетной организации. Злоумышленники использовали тактику обмана на уровне двух министерств — электронное письмо поступало в организацию с высоким статусом с почтовых адресов отправителя того же уровня, который также стал жертвой киберпреступников.
- Вложение вредоносного элемента. Хакеры прикрепили к письму архивный файл с вредоносным ПО под видом безопасного вложения. В данном случае письмо содержало защищенный паролем архив RAR с именем NSC Press conference.rar.
- Открытие первого документа. Извлеченный из архива файл NSC Press conference.exe выполняет роль дроппера. Из письма следует, что вложенный файл является документом, поэтому жертва запускает исполняемый файл без лишних сомнений. Хакеры используют простую уловку: после запуска дроппера пользователем он открывает первый документ на рабочем столе жертвы. Даже если такой документ для открытия не был найден, дроппер переходит к следующему шагу — загрузке бэкдора.
- Использование Dropbox в качестве центра командования и управления (C&C). Бэкдор подключается к предварительно настроенной папке в Dropbox, которая создается отдельно для каждой жертвы. С адреса папки бэкдор получает дальнейшие команды и сохраняет по нему украденную информацию.
Маскировка и сохраняемость вредоносного ПО с помощью Dropbox
Киберпреступники используют API Dropbox для маскировки своих вредоносных действий — при этом обмен данными с подозрительными сайтами не осуществляется. Настроенный злоумышленниками бэкдор создает уникальную папку жертвы в учетной записи Dropbox, контролируемой хакерами. Когда им необходимо отправить файл или команду на скомпрометированный компьютер, они помещают их в подпапку «d» папки Dropbox жертвы. Вредоносное ПО обращается к этой папке и скачивает ее содержимое в рабочую папку. Чтобы обеспечить сохраняемость, бэкдор настраивает ключ системного реестра так, чтобы запускаться при каждом входе пользователя в систему.
Действия по кибершпионажу, обнаруженные Check Point Research
В ходе данной атаки специалисты Check Point Research зарегистрировали следующие действия:
- Скачивание и запуск инструмента сканирования, который используется для таргетированных кибератак (APT) многими хакерами, включая активную и успешную группу китайских хакеров APT10.
- Запуск встроенных сетевых утилит Windows.
- Доступ к файлам жертвы, в частности — к документам на рабочем столе.
«Выявление фактов кибершпионажа — по-прежнему приоритетная задача для нас. На этот раз мы обнаружили действующую целенаправленную кампанию, мишенью которой стало правительство Афганистана, — комментирует Лотем Финкельстин (Lotem Finkelsteen), ведущий эксперт по анализу киберугроз Check Point Software Technologies. — У нас есть основания полагать, что Узбекистан и Киргизия также стали жертвами этих атак. Собранные нами сведения указывают на хакеров из Китая. В данном случае злоумышленники использовали интересную тактику обмана одного министерства от имени другого. Такая тактика является очень агрессивной и действенной: любой сотрудник поспешит выполнить всё, что от него просят. В нашем примере киберпреступникам удалось выполнить ряд действий среди чиновников высшего уровня. Кроме того, важно отметить, что хакеры использовали Dropbox, чтобы избежать обнаружения. Нам всем стоит иметь в виду этот метод и принимать профилактические меры. Возможно, эта группа хакеров также атаковала другие страны, хотя мы пока не знаем, сколько и какие именно. По этой причине сегодня мы предоставляем список доменов, которые могли быть задействованы в атаке. Надеемся, что их имена помогут специалистам по кибербезопасности в дальнейших исследованиях, которые дополняют и развивают полученную нами информацию».