Jedno z miejsc na komputerze, gdzie rzadko zaglądamy z uwagą, to kosz. Jeśli rzucamy tam okiem, to głównie po to, by uwolnić miejsce na dysku, kasując jego zawartość. Korzystali z tego chińscy włamywacze, panoszący się po firmach na całym świecie.
Rzadko trafiamy na akty oskarżenia, w których punkt po punkcie wypisane są kolejne ataki przestępców, z datami, ścieżkami do plików i rozmiarami wykradzionych danych. Tym razem jednak śledczy musieli mieć bardzo dobre źródła informacji, bo akt oskarżenia przeciwko Li Xiaoyu i Dongowi Jiazhi jest bardzo, ale to bardzo szczegółowy. Zobaczmy, czego możemy się nauczyć na podstawie jego lektury.
Li i Dong to koledzy z technikum elektrycznego w Chengdu, ukończyli także tę samą uczelnię. Bardzo pracowici koledzy, bo według amerykańskich organów ścigania od 2009 włamali się co najmniej do dziesiątek firm w USA, Australii, Belgii, Niemczech, Japonii, Holandii, Korei Południowej, Hiszpanii, Szwecji i Wielkiej Brytanii. U ofiar szukali sekretów handlowych, kodów źródłowych, planów, projektów i wszystkiego, co można ukraść i sprzedać. Czasem szantażowali ofiary, grożąc ujawnieniem wykradzionych danych.
Ofiary wybierali, kierując się publicznie dostępnymi informacjami o tym, jakie firmy mogły posiadać interesujące ich dane. Czasem atakowali te podmioty bezpośrednio, czasem poprzez ich dostawców. Jak przeprowadzali swoje ataki?
A narzędzia i dane schowamy w koszu
W pierwszym etapie wykorzystywali znane już, choć niedawno ujawnione podatności lub błędy konfiguracyjne w aplikacjach WWW. Na serwer wgrywali webshella (najczęściej China Chopper), którego „ukrywali” na przykład pod takim adresem
domena.com/builds/fragments/p.jsp
Następnie wgrywali kolejne narzędzia, umożliwiające im kradzież poświadczeń oraz przejęcie zdalnej kontroli nad komputerami w sieci ofiary. W kolejnym kroku lokalizowali interesujące dane, zbierali je w jednym folderze, kompresowali za pomocą RAR-a z użyciem hasła, w pliku wynikowym zamieniali rozszerzenie na JPG i pobierali go z sieci ofiary.
Do ukrywania plików na komputerze ofiary używali rzadko spotykanej, a bardzo prostej sztuczki. Swój katalog roboczy, w którym trzymali narzędzia oraz wykradane i kompresowane dane tworzyli w systemowym koszu – czyli miejscu, gdzie rzadko można trafić przez przypadek. Dzięki temu łatwiej było im uniknąć sytuacji, w której tworzone pliki wzbudzały zainteresowanie użytkownika.
Gigabajty, setki gigabajtów
Wykradane dane trafiały na serwery w Chinach, gdzie oskarżeni sprzedawali je zainteresowanym podmiotom lub przekazywali służbom specjalnym (o tym wątku w paragrafie poniżej). Ilość wykradanych danych robi wrażenie. Akt oskarżenia wymienia 25 ofiar i podaje rozmiary strat w gigabajtach – wartości wahają się od 1 GB do 1,2 TB na ofiarę. Kilka przykładów:
- szwedzki producent gier – 169 GB danych, w tym kod źródłowy produktów,
- litewski producent gier – 38 GB danych,
- amerykański producent z sektora zbrojeniowego – 140 GB danych projektów, planów i prezentacji,
- amerykańsko-japońska firma z branży przemysłowej – 1,2 TB danych projektowych, w tym projekty wysokowydajnych turbin gazowych,
- hiszpańska firma z sektora obronnego – 900 GB dokumentów projektowych.
Najnowsze ataki wymienione w akcie oskarżenia pochodzą z czerwca 2020 – cały dokument obejmuje zatem ok. 11 lat aktywności przestępców. Co ciekawe, akt oskarżenia wymienia nie tylko ataki, ale także prowadzenie rekonesansu czy też zbieranie ogólnie dostępnych informacji na określony temat (np. metody komunikacji osób protestujących w Hongkongu) – lektura takich szczegółów każe się zastanawiać, czy ktoś tu nie podsłuchiwał każdego naciśnięcia klawisza przez sprawców.
Nie tylko komercyjne ataki
Co ciekawe, Li i Dong najwyraźniej pracowali także na rzecz chińskiego rządu. Według aktu oskarżenia działali pod kontrolą oficera chińskiego Ministerstwa Bezpieczeństwa Państwowego i wykradali informacje dotyczące wojskowych systemów satelitarnych, łączności bezprzewodowej, urządzeń laserowych dużej mocy czy systemów współpracy śmigłowców z okrętami. Ponadto w trakcie swoich działań zdobywali także adresy e-mail i hasła do skrzynek chińskich dysydentów, organizatorów protestów w Hongkongu czy korespondencji pastorów nielegalnych kościołów chrześcijańskich w Chinach. Od oficera prowadzącego dostawali wsparcie – akt oskarżenia wspomina, że ten przekazał im exploita typu 0-day na jedną z popularnych przeglądarek.
Podsumowanie
Choć nigdy nie wątpiliśmy, że amerykańskie służby wywiadowcze mają sporą wiedzę o działaniach włamywaczy z innych krajów, to rzadko tą wiedzą dzieliły się z organami ścigania. To ciekawy trend, w którym ostatnio coraz częściej pojawiają się akty oskarżenia wobec rosyjskich i chińskich cyberprzestępców, zawierające często bardzo szczegółowe zarzuty. Czy celem jest odstraszenie napastników? Być może tak – bo sprawcy najczęściej i tak pozostają poza amerykańską jurysdykcją.
Jeśli chcecie posłuchać m.in. o innych atakach przypisywanych chińskim włamywaczom (włamania OPM czy Equifax) do polecamy poniższe nagranie:
Komentarze
„szwedzki producent gier – 169 GB danych, w tym kod źródłowy produktów,” Overkill?
Nie, Mojang.
„Swój katalog roboczy, w którym trzymali narzędzia oraz wykradane i kompresowane dane tworzyli w systemowym koszu – czyli miejscu, gdzie rzadko można trafić przez przypadek”
.
Amatorzy!
Mogli użyć ADS. Skoro to był Windows, który na 99% był zainstalowany na systemie plików NTFS. W alternatywnych strumieniach danych o wiele lepiej jest coś ukryć.
.
Oczywiście dobry bezpiecznik/pentester wie o tym i nie pomija sprawdzenia ADS:)
Wow.. ADS!
A my chowamy pliki, ukrywamy je przed uzytkownikami.. a tu taka metoda.
Swoja droga, zniknalem kiedys spory plik vhd kopiujac go z wiersza polecen. Plik nadal nie odnaleziony, teraz sie zastanawiam czy nie pomylilem / z : i plik sie zaszyl wlasnie w ADS.
Dzieki DuzyPies za informacje.
Spraw sobie książkę „Windows Sysinternals. Wykrywanie i rozwiązywanie problemów” (Autorzy: Mark Russinovich, Aaron Margosis; Wydawca: Microsoft Press/Promise)
https://ksiazki.promise.pl/produkt/windows-sysinternals-wykrywanie-i-rozwiazywanie-problemow/
Wartościowa lektura dla bezpiecznika/pentestera i informatyka śledczego.
.
No i pamętaj że Windows to nie tylko NTFS.
Na Windowsowych serwerach często jest Resilient File System (ReFS).
To wszystkp prawda, Duży Psie, ale nie sądzisz że ukrywanie danych w ADS to „security by obscurity”?
@Jontek
Pewnie że tak.
Ale ja wspomniałem o ADS dlatego żeby wiedzieć/pamiętać że taka struktura danych w NTFSie jest i trzeba ją uwzględniać podczas pentestów i analizy. Mój wpis był „edukacyjny”.
W ogóle, podczas pentestów/analizy (powłamaniowej) warto patrzeć tam gdzie inni nie patrzą, np. do Slack Space i w inne ciekawe obszary. Chodzi o to żeby być świadomym takich miejsc i struktur danych. Chodzi o to żeby być ogarniętym i nie dać się wydymać cybeprzestępcom.
.
Powodzenia w forensiku i cybersecurity!
Pozdrawiam, Big Dog
cmd dir /r i pliki widac :) nawet te ukryte
w koszu, przypadkiem to tam wywalono i po 11 latach znaleźli trojana i „ooo to ten trojan co zgubiłem, czekaj… co on tam ma?”