Как мы выслеживали известную во всем мире группировку Winnti и пресекли их атаку
Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, далее также — PT ESC) в рамках регулярного мониторинга угроз ИБ обнаружили неизвестную ранее вредоносную программу. Эта программа оказалась связана с хакерской группой Winnti. Шпионаж, громкие взломы ASUS и ССleaner и, как следствие, пристальное внимание правительства США — вот чем могут похвастаться Winnti. В статье мы расскажем, как шли по их цифровым следам и пресекли атаку.
Кто такие Winnti?
Winnti (она же APT41, BARIUM, AXIOM) — хакерская группировка с китайскими корнями, существующая уже больше девяти лет и известная специалистам по безопасности во всем мире. Примечательна она тем, что любит использовать технику supply chain attack, когда цель атакуется не напрямую, а через промежуточное звено — например, партнеров-поставщиков ПО или оборудования.
Основной арсенал группировки состоит из вредоносных программ собственной разработки. При этом инструменты группы постоянно развиваются и совершенствуются. Часто именно Winnti создают инновационные хакерские техники.
Ребята настолько опасны, что правительство США уже арестовало двух участников группы, а еще пятерых объявило в международный розыск за причастность к кибератакам на сотни организаций. Указав на близость этих китайских граждан к государственным спецслужбам, США подтвердили подозрения многих исследователей, отслеживающих атаки этой группы. Можно сказать, что это одна из самых активных и дерзких хакерских группировок на сегодняшний день.
Как мы шли по следу
В марте прошлого года специалисты PT ESC обнаружили неизвестный ранее бэкдор, дав ему название xDll — по элементу в коде. Исследуя его и похожие на него образцы, они не обнаружили ничего необычного, кроме названия домена контрольного сервера: www.g00gle_jp.dynamic-dns[.]net. Это фишинговый адрес, рассчитанный на компании из Японии. Тогда эксперты просто зафиксировали этот факт и отложили, так как не обнаружили четкой связи ни с одной из группировок.
Термины из мира ИБ
Бэкдор — программа, которая используется хакерами для получения несанкционированного удаленного доступа к зараженному компьютеру. Это один из самых опасных типов вредоносного ПО, поскольку дает злоумышленнику возможность следить за пользователем, управлять его файлами, устанавливать дополнительное ПО, контролировать всю систему компьютера и атаковать другие узлы.
SSL-сертификат — цифровая подпись сайта, которая обеспечивает безопасное соединение. Благодаря SSL-сертификату логины и пароли, данные банковских карт и персональные данные пользователя шифруются таким образом, что ни злоумышленники, ни системные администраторы, ни провайдеры не могут их взломать.
Лог — файл, в котором собирается служебная и статистическая информация о событиях в системе или программе.
Что было дальше
Эксперты PT ESC нашли вредоносную программу — ShadowPad. Ее домен и домен xDll были очень похожи по структуре. Было решено, что это дело рук той же группы, и дан старт исследованию инфраструктуры. Через несколько IP-адресов получилось связать эти программы друг с другом.
ShadowPad уже упоминали в отчетах другие компании. Я же получил задание найти в ShadowPad что-то такое, чего еще никто в нем не находил. Разбирал его, тестировал, смотрел, как работает. В итоге через две с половиной недели вернул отчет об исследовании, который потом вошел в отчет по группировке Winnti. Задание было увлекательным, потому что весь софт кибергруппировки был очень хорошо сделан: высокое качество кода, интересное шифрование и необычная архитектура. ShadowPad был построен модулями, в которые нетипичным способом встроена возможность вызова некоторых функций на компьютере пользователя. Одним словом, на той стороне работали достаточно сильные профессионалы, и раскусить их было задачей сложной, но очень захватывающей.
Позже эксперты нашли еще образцы и xDll, и ShadowPad, и загрузчики, которых раньше не встречали. Увидели, что у всех одинаковый SSL-сертификат. Про этот сертификат в 2017 году писали эксперты Avast в расследовании атаки на CCleaner. Он был точно такой же, за три года его не поменяли. А в 2019 году компания FireEye, когда рассказывала о кибератаках на Японию, упомянула, что этот сертификат использовался на контрольных серверах APT41 и в их ВПО. В общем, совпадений было достаточно, чтобы заявить, что Winnti возобновила свою активность.
Кого атаковали Winnti на этот раз?
Ответ на этот вопрос нашли по фишинговым адресам, которые использовала группа, замаскированным под сайты Яндекса, Google и Facebook. По этим и другим показателям предположили, что они атаковали компании из России, США, Южной Кореи и Монголии.
Изначально перед PT ESC стояла задача как можно шире исследовать инфраструктуру и получить данные об атаках, а если повезет, то раздобыть и информацию о скомпрометированных узлах.
Нам улыбнулась удача: спустя месяц злоумышленники дали нам и такую возможность. При настройке сервера у них случилась ошибка, и некоторые файлы стали доступны людям снаружи. Среди этих файлов были утилиты для развития атак, неизвестный ранее Python-бэкдор, исполняемый файл, замаскированный под картинку формата JPG, и логи отстука зараженной машины в виде TXT-файла.
Логи, кстати, принадлежали бэкдору, который мы нашли ранее и упоминали в этой статье выше, что тоже легло в доказательную базу в деле Winnti.
Затем на сервере я нашел файл list.gif, тоже замаскированный под картинку. В нем содержалась обобщенная информация обо всех зараженных машинах, в том числе внешние и внутренние IP-адреса. По внешним IP-адресам нам удалось установить некоторые компании, которые были заражены.
Чем закончилась история
Компаниям, которые оказались заражены, мы отправили письмо с именами скомпрометированных компьютеров, доказательной базой, а также советами, что можно сделать, чтобы защититься. Информация о зараженных зарубежных организациях была передана командам CERT (computer emergency response team), которые, в свою очередь, связались с соответствующими иностранными компаниями.
Через неделю после публикации отчета выяснилось, что большинство доменов были «завернуты» на адрес 127.0.0.1, а контрольные серверы отключены. Мы проводили исследование достаточно долго, и на всем его протяжении такого еще не случалось. Поэтому мы связываем сворачивание инфраструктуры по распространению вредоносного ПО с публикацией наших материалов.
Есть одна группировка такая, блокирует сайты всякие, замедляет их, шантажирует всех. Личные данные ворует безнаказанно. Работает четко по заказам. Спецы там не ахти, но это от безнаказанности. РКН называется. Слыхали?
спасибо за информацию. теперь мы знаем кого уволить и что поправить. продолжайте держать нас в курсе!
Обещаем держать вас в курсе нашей деятельности по предотвращению хакерских атак! Впереди — новое расследование)
Следите за обновлениями в нашем блоге.
шуганули ребят ненадолго, доработают свои техники и пофигачат дальше делать свои делишки темные)
Шуганули серьезно! Такие группировки, как Winnti, обладают огромными возможностями. Тем не менее подобные расследования затрудняют их деятельность. Все дело в том, что весь процесс разворачивания сетевой инфраструктуры, подготовка инструментов и так далее — это весьма небыстрый и затруднительный процесс. Тем более, атаки проводят целенаправленно на конкретные организации, а не на всех подряд.