Как мы выслеживали известную во всем мире группировку Winnti и пресекли их атаку
Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, далее также — PT ESC) в рамках регулярного мониторинга угроз ИБ обнаружили неизвестную ранее вредоносную программу. Эта программа оказалась связана с хакерской группой Winnti. Шпионаж, громкие взломы ASUS и ССleaner и, как следствие, пристальное внимание правительства США — вот чем могут похвастаться Winnti. В статье мы расскажем, как шли по их цифровым следам и пресекли атаку.
Кто такие Winnti?
Winnti (она же APT41, BARIUM, AXIOM) — хакерская группировка с китайскими корнями, существующая уже больше девяти лет и известная специалистам по безопасности во всем мире. Примечательна она тем, что любит использовать технику supply chain attack, когда цель атакуется не напрямую, а через промежуточное звено — например, партнеров-поставщиков ПО или оборудования.
Основной арсенал группировки состоит из вредоносных программ собственной разработки. При этом инструменты группы постоянно развиваются и совершенствуются. Часто именно Winnti создают инновационные хакерские техники.
Ребята настолько опасны, что правительство США уже арестовало двух участников группы, а еще пятерых объявило в международный розыск за причастность к кибератакам на сотни организаций. Указав на близость этих китайских граждан к государственным спецслужбам, США подтвердили подозрения многих исследователей, отслеживающих атаки этой группы. Можно сказать, что это одна из самых активных и дерзких хакерских группировок на сегодняшний день.
Как мы шли по следу
В марте прошлого года специалисты PT ESC обнаружили неизвестный ранее бэкдор, дав ему название xDll — по элементу в коде. Исследуя его и похожие на него образцы, они не обнаружили ничего необычного, кроме названия домена контрольного сервера: www.g00gle_jp.dynamic-dns[.]net. Это фишинговый адрес, рассчитанный на компании из Японии. Тогда эксперты просто зафиксировали этот факт и отложили, так как не обнаружили четкой связи ни с одной из группировок.
Что было дальше
Эксперты PT ESC нашли вредоносную программу — ShadowPad. Ее домен и домен xDll были очень похожи по структуре. Было решено, что это дело рук той же группы, и дан старт исследованию инфраструктуры. Через несколько IP-адресов получилось связать эти программы друг с другом.
Позже эксперты нашли еще образцы и xDll, и ShadowPad, и загрузчики, которых раньше не встречали. Увидели, что у всех одинаковый SSL-сертификат. Про этот сертификат в 2017 году писали эксперты Avast в расследовании атаки на CCleaner. Он был точно такой же, за три года его не поменяли. А в 2019 году компания FireEye, когда рассказывала о кибератаках на Японию, упомянула, что этот сертификат использовался на контрольных серверах APT41 и в их ВПО. В общем, совпадений было достаточно, чтобы заявить, что Winnti возобновила свою активность.
Кого атаковали Winnti на этот раз?
Ответ на этот вопрос нашли по фишинговым адресам, которые использовала группа, замаскированным под сайты Яндекса, Google и Facebook. По этим и другим показателям предположили, что они атаковали компании из России, США, Южной Кореи и Монголии.
Изначально перед PT ESC стояла задача как можно шире исследовать инфраструктуру и получить данные об атаках, а если повезет, то раздобыть и информацию о скомпрометированных узлах.
Логи, кстати, принадлежали бэкдору, который мы нашли ранее и упоминали в этой статье выше, что тоже легло в доказательную базу в деле Winnti.
Чем закончилась история
Компаниям, которые оказались заражены, мы отправили письмо с именами скомпрометированных компьютеров, доказательной базой, а также советами, что можно сделать, чтобы защититься. Информация о зараженных зарубежных организациях была передана командам CERT (computer emergency response team), которые, в свою очередь, связались с соответствующими иностранными компаниями.
Через неделю после публикации отчета выяснилось, что большинство доменов были «завернуты» на адрес 127.0.0.1, а контрольные серверы отключены. Мы проводили исследование достаточно долго, и на всем его протяжении такого еще не случалось. Поэтому мы связываем сворачивание инфраструктуры по распространению вредоносного ПО с публикацией наших материалов.
#информационнаябезопасность #cybersecurity #хакеры #кибергруппировки #winnti #PTESC #ВПО #зловред #расследование #бэкдор #shadowpad
Есть одна группировка такая, блокирует сайты всякие, замедляет их, шантажирует всех. Личные данные ворует безнаказанно. Работает четко по заказам. Спецы там не ахти, но это от безнаказанности. РКН называется. Слыхали?
спасибо за информацию. теперь мы знаем кого уволить и что поправить. продолжайте держать нас в курсе!
Обещаем держать вас в курсе нашей деятельности по предотвращению хакерских атак! Впереди — новое расследование)
Следите за обновлениями в нашем блоге.
шуганули ребят ненадолго, доработают свои техники и пофигачат дальше делать свои делишки темные)
Шуганули серьезно! Такие группировки, как Winnti, обладают огромными возможностями. Тем не менее подобные расследования затрудняют их деятельность. Все дело в том, что весь процесс разворачивания сетевой инфраструктуры, подготовка инструментов и так далее — это весьма небыстрый и затруднительный процесс. Тем более, атаки проводят целенаправленно на конкретные организации, а не на всех подряд.