22.04.2015 | 20:47

Adam Haertle

Domeny gov.pl, rosyjscy hakerzy i dwa błędy 0day czyli powrót APT28

Włamywacze powiązani z rosyjskim rządem nie próżnują. Zostali ostatnio przyłapani na używaniu dwóch nieznanych błędów we Flashu oraz w systemie Windows a wcześniej także umieszczali złośliwe oprogramowanie na serwerach w domenie gov.pl.

Dzięki najnowszym raportom FireEye, TrendLabs oraz PwC poznajemy kulisy kolejnej zaawansowanej operacji grupy szpiegowskiej APT28 kojarzonej z rosyjskim rządem. Jej ataki są bardzo precyzyjne, grono ofiar mocno zawężone a w sieci brak śladów po jej operacji.

Polskie ślady

Raport TrendLabs wspomina, że grupa prowadzi trzy rodzaje ataków: spear phishing czyli rozsyłanie wiadomości poczty elektronicznej z dokumentami Microsoft Office do wybranych osób, phishing z linkami do fałszywego panelu logowania do webmaila oraz dedykowane exploity zamieszczane na serwerach WWW i uruchamiane tylko w momencie wizyty wybranych użytkowników (zapewne w oparciu o adresację IP lub parametry przeglądarki).

Przykładowa wiadomość z phishingiem

Przykładowa wiadomość z phishingiem

Grupa APT28 już wcześniej przejawiała aktywność w polskiej części sieci. Pisaliśmy zarówno o atakach spear phishing jak i fałszywym webmailu Ministerstwa Obrony Narodowej a także o exploitach na stronie autorów projektu polskiego czołgu PL-01. Ewidentnie nasz kraj znajduje się w kręgu zainteresowania tej grupy.

Błędy 0day

13 kwietnia, a więc zaledwie tydzień temu, firma FireEye odkryła atak przypisywany tej samego grupę APT28, w którym wykorzystano dwa błędy 0day. Błąd we Flashu (CVE-2015-3043) dotyczy nieprawidłowego przetwarzania plików FLV i został już załatany. APT28 wykorzystuje go do uruchomienia złośliwego kodu w kontekście przeglądarki. W kolejnym kroku program pobierany z sieci próbuje wykorzystać błąd CVE-2015-1701 w systemie Windows, który pozwala na kradzież tokenu SYSTEM i wykonywanie poleceń z uprawnieniami jądra systemu. Błąd ten nie jest jeszcze załatany i nie występuje w Windows 8 ani 10.

Domeny używane w atakach

Z kolei raport PwC wylicza długą listę domen wykorzystywanych w atakach na użytkowników. Wygląda ona następująco:

defencereview.net, brnlv-gv.eu, militaryobserver.net, netassistcache.com, asus-service.net, aolnets.com, natopress.org, natopress.com, defencereview.eu, intelsupport.net, globalnewsweekly.com, osce-oscc.org, enisa-europa.com, enisa-europa.org, techcruncln.com, nato-hq.com, iacr-tcc.org, nato-int.com, nato-info.com, bmlv-gv.eu, foreignreview.com, mediarea.org, osce-military.org, europeanda.com, softupdates.info, settings-yahoo.com, settings-live.com, delivery-yahoo.com, privacy-yahoo.com, privacy-live.com, westinqhousenuclear.com, webmail.westinqhousenuclear.com

Jak widać atakujący tworzą serwisy udające znane domeny organizacji medialnych, wojskowych i politycznych oraz popularnych serwisów internetowych. Spędziliśmy sporo czasu szukając dalszych informacji na temat tych adresów i znaleźliśmy zaledwie strzępki danych – najwyraźniej domeny były wykorzystywane w bardzo precyzyjnych atakach – większość z nich nie jest znana serwisom badającym reputację stron WWW. Natrafiliśmy jedynie na dwa adresy używane w atakach:

http://enisa-europa.com/activities/identity-and-trust/library/614684/deliverables/dbn-severity
http://osce-oscc.org/url?=4q9/2015/03/ukraine-smm/special_monitoring_mission_to_ukraine

Daty rejestracji i użycia poszczególnych domen wskazują, że poza wyjątkowymi przypadkami największa fala ataków zaczęła się w marcu i trwa do dzisiaj.

Aktualizacja 2015-04-23
Zmiany w pierwszym i trzecim akapicie uwzględniające fakt, że polskie domeny rządowe były wykorzystywane we wcześniejszych atakach grupy a nie w ostatniej kampanii.
Powrót

Komentarze

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Domeny gov.pl, rosyjscy hakerzy i dwa błędy 0day czyli powrót APT28

Komentarze