APT išpuolių eros pradžios medžioklė: 20 metų senumo išpuolis vis dar aktualus

„Kaspersky Lab“ ir „Kings College London“ tyrėjai, ieškodami ryšio tarp šiuolaikinės grėsmės vykdytojo ir prieš Pentagoną, NASA nukreiptų „Moonlight Maze“ išpuolių, įvykdytų 10-ojo dešimtmečio pabaigoje, aptiko pavyzdžių, prisijungimo duomenų ir artefaktų, priklausančių seniems APT (angl. Advanced Persistant Threat) išpuoliams. Šie radiniai rodo, kad 1998 m. „Moonlight Maze“ išpuoliui naudotas virusas, kuris iš aukų tinklų rinko ir siuntė sukčiams informaciją, yra susijęs su virusu, kurį naudojo „Turla“ 2011 m. ir galbūt 2017 m. Jei ryšys tarp „Turla“ ir „Moonlight Maze“ bus įrodytas, bus galima evoliucionavusios grėsmės vykdytojus palyginti su „Equation“ grupuote dėl abiejų ilgaamžiškumo, nes kai kurie šios grupuotės komandų ir kontrolės serveriai buvo užfiksuoti 1996 m.

Šiuolaikinės ataskaitos apie „Moonlight Maze“ rodo, kaip nuo 1996 metų JAV kariniai ir vyriausybiniai struktūrų, universitetų, mokslinių tyrimų institutų ir net Energetikos departamento tinklai pradėjo aptikti pažeidimus savo sistemose. 1998 m. FTB ir Gynybos departamentas pradėjo masinį tyrimą. Istorija buvo iškelta į viešumą 1999 m., bet daug įrodymų išliko paslėpti, „Moonlight Maze“ išpuolio detales gaubia mitas ir paslaptys.

Bėgant metams, trijų skirtingų šalių tyrėjai pareiškė, kad „Moonlight Maze“ išsivystė į „Turla“ – rusakalbių grėsmės vykdytojų išpuolius, taip pat žinomus kaip „Snake“, „Uroburos“, „Venomous Bear“ ir „Krypton“. Tradiciškai manoma, kad „Turla“ buvo aktyvus nuo 2007 m.

Pavyzdžiai iš spintos

2016 m. Tomas Ridas (Thomas Rid) iš „Kings College London“, rengdamas savo knygą „Mašinų prisikėlimas“ (Rise of the Machines), susisiekė su buvusiu sistemos administratoriumi, kurio organizacijos serveris buvo pagrobtas „Moonlight Maze“ užpuolikų. Šis serveris „HRTest“ buvo naudojamas pradėti išpuolius prieš JAV. Dabar jau į pensiją išėjęs IT specialistas originalų serverį ir visas su išpuoliu susijusias kopijas perdavė „Kaspersky Lab“ tyrėjams tolesnei analizei.

„Kaspersky Lab“ tyrėjai Juan Andres Guerrero-Saade ir Kostinas Raju (Costin Raiu) kartu su Tomu Ridu (Thomas Rid) ir Deniu Muru (Danny Moore) iš „Kings College London“ devynis mėnesius vykdė išsamią techninę šių pavyzdžių analizę. Jie rekonstravo užpuolikų veiksmus, priemones ir metodus, tuo pat metu aiškinosi galimą ryšį su „Turla“.

„Moonlight Maze“ buvo atvirojo kodo „Unix“ pagrindu prieš „Solaris“ sistemas vykdomas išpuolis, ir tyrimo faktai rodo, kad jis pasinaudojo LOKI2 pagrindu (1996 m. išleista programa, kuri leidžia naudotojams gauti duomenis slaptais kanalais) vykdomu virusu. Tai paskatino tyrėjus antrą kartą pažvelgti į kai kuriuos retus „Turla“ naudojamus „Linux“ pavyzdžius, 2014 m. aptiktus „Kaspersky Lab“. Pavadinti „Penquin Turla“, šie pavyzdžiai taip pat buvo vykdomi LOKI2 pagrindu. Be to, nauja analizė parodė, kad visi jie taiko kodą, sukurtą tarp 1999 m. ir 2004 m.

Pažymėtina, kad šis kodas vis dar taikomas išpuoliuose. Jis buvo pastebėtas 2011 m. per išpuolį prieš atakos gynybos rangovą „Ruag“ Šveicarijoje ir priskirtas „Turla“. 2017 m. kovą „Kaspersky Lab“ tyrėjai atrado naują „Penquin Turla“ viruso pavyzdį, pateiktą iš sistemos Vokietijoje. Įmanoma, kad „Turla“ taiko senąjį kodą išpuoliams prieš labai saugomus ūkio subjektus, kurie gali būti sunkiau pažeidžiami taikant standartinį „Windows“ įrankių rinkinį.

„10-ojo dešimtmečio pabaigoje niekas negalėjo numatyti koordinuotos kibernetinio šnipinėjimo kampanijos plėtros masto ir atkaklumo. Turime savęs paklausti, kodėl užpuolikai vis dar sėkmingai išnaudoja senąjį kodą šiuolaikiniams išpuoliams. „Moonlight Maze“ pavyzdžių analizė yra ne tik įspūdingas archeologinis tyrimas, ji taip pat yra priminimas, kad gerai ginkluoti priešai nesiruošia trauktis. Mūsų rūpestis – pasitelkiant savo įgūdžius ginti sistemas“, – sakė Juan Andres Guerrero-Saade, „Kaspersky Lab“ Pasaulio tyrimų ir analizės komandos vyriausiasis saugumo ekspertas.

Naujai rasti „Moonlight Maze“ failai atskleidė daug įdomių detalių, kaip išpuoliai buvo rengiami naudojant sudėtingą tinklą, ir užpuolikų įgūdžius ir priemones. Išsamiai sužinoti galite skaitydami įrašus tinklaraštyje: https://securelist.com/blog/sas/77883/penquins-moonlit-maze/

„Kaspersky Lab“ produktai sėkmingai aptinka ir blokuoja „Moonlight Maze“ ir „Penquin Turla“ naudojamus virusus.

 

Apie „Kaspersky Lab“

„Kaspersky Lab“ – pasaulinė kibernetinio saugumo bendrovė, įkurta 1997 m. Bendrovės sukauptos žinios apie grėsmes ir saugumą nuolat paverčiamos saugumo sprendimais ir paslaugomis, siekiant apsaugoti viso pasaulio ypatingos svarbos verslo infrastruktūras, vyriausybes ir naudotojus. Didelį bendrovės saugumo portfelį sudaro pirmaujanti „Endpoint Security“ klasės apsaugos sistema ir daugybė specializuotų apsaugos sprendimų bei paslaugų, skirtų kovoti su sudėtingomis skaitmeninėmis grėsmėmis. Daugiau nei 400 mln. naudotojų ir 270 tūkst. verslo klientų apsaugomi „Kaspersky Lab“ technologijų.


Balandžio 4, 2017