Tam, gdzie zaczyna się paranoja, czyli o ciekawym ataku na polskiego programistę

dodał 20 grudnia 2016 o 16:08 w kategorii Złośniki  z tagami:
Tam, gdzie zaczyna się paranoja, czyli o ciekawym ataku na polskiego programistę

Rzadko mamy okazję pisać o analizach zaawansowanych ataków których celem są Polacy. Takie ataki się zdarzają – tylko z reguły nigdy nie widzą światła dziennego. Tym razem jest jednak inaczej, dzięki czemu możecie przeczytać poniższy artykuł.

Jednym z niewielu polskich zespołów bezpieczeństwa nie tylko chroniącym i analizującym ale także piszącym i publikującym jest SOC firmy Exatel. Mogliście już czytać o ich odkryciu brzydkiego zachowania Maxthona lub rozbudowaną analizę botnetu. Historia, którą zechcieli się z nami i Wami dzisiaj podzielić jest jeszcze bardziej interesująca. Oddajmy głos Exatelowi.

Co mają wspólnego maile od naukowców uniwersytetu Columbia, tajemniczy moskiewski adres i mitologia Warhammer 40 000? Grupa SOC Exatel zaprasza do lektury najnowszego raportu.

Gdy mniej więcej miesiąc temu z grupą SOC Exatel skontaktował się pośrednio poprzez Hackerspace Warszawa polski programista, zespół nie wiedział jeszcze z czym będzie miał do czynienia. Jak tłumaczył programista, znaczną ilość pieniędzy przechowuje w postaci bitcoin’ów i podejrzewa, że ktoś mógł podjąć próbę przeprowadzenia wycelowanego w niego ataku. Chociaż nie miał żadnych dowodów na ingerencję osób trzecich w jego system, postanowił przekazać sprawę do zbadania analitykom SOC Exatel.

Programista od dłuższego czasu prowadził korespondencję z dwoma osobami piszącymi ze skrzynek pocztowych uniwersytetu Columbia i Imperial College of London. Osoby te podawały się za pracowników naukowych i zwróciły się do niego z propozycją pracy zdalnej przy projekcie badawczym dotyczącym tworzenia nowych algorytmów do analizy rynku bitcoinów.

atak01

Cała korespondencja była prowadzona ze skrzynek mailowych znajdujących się w domenach obu wspomnianych uniwersytetów.

Nie wiadomo skąd nadawcy znali numer telefonu adresata. Wiadomo natomiast, że programista udziela się aktywnie naukowo w temacie badań związanych z analizą rynku bitcoinów. Prowadzi własne analizy w tej dziedzinie, uczestniczy w konferencjach jako prelegent.

W korespondencji piszący do polskiego adresata wykazywali istotną wiedzę merytoryczną w tej dziedzinie. Pierwszym zadaniem testowym, którym miał się zająć – jeśli zgodziłby się na współpracę – była analiza algorytmu nad którym akurat właśnie pracują. Algorytm zaimplementowany został w języku skryptowym znanego programu do analiz statystycznych.

atak02

Postawmy się na miejscu człowieka, który dostaje wiadomości od naukowców z Imperial College of London w temacie, którym zajmujemy się zawodowo. Profilaktycznie sprawdzamy, czy ktoś nie podszywa się pod tą prestiżową instytucję ale okazuje się, że mail wygląda na pochodzący z autentycznego systemu mailowego uczelni. Naukowcy znają nasz numer telefonu, a nawet wypominają nam, że nie mogą się przez niego skontaktować. W końcu kto pamięta wszystkie osoby, którym wręczał wizytówki? Naukowcy poszukują firmy zewnętrznej do współpracy, więc początkowo sprawdzają nasze umiejętności techniczne. Brzmi racjonalnie. Dopiero, gdy okazuje się, że spełniamy ich wymagania są zainteresowani dalszą współpracą. Przekazują kontakt do naukowca z uniwersytetu Columbia. Mail od zagranicznej uczelni początkowo budzi naszą podejrzliwość, więc sprawdzamy obydwa adresy mailowe. Okazuje, że zarówno maile Imperial College of London jak i uniwersytetu Columbia są autentyczne. Choć mail od zagranicznej uczelni brzmi podejrzanie jakie jest prawdopodobieństwo, że ktoś włamał się nie na jeden, ale na dwa prestiżowe uniwersytety? Postanawiamy nawiązać współpracę.

Po długich negocjacjach, po wielu uwierzytelnianiach, po sprawdzeniu autentyczności dwóch uniwersytetów, kto z nas byłby na tyle przezorny, aby uruchomić program do analiz statystycznych , ściągnięty z domeny uniwersytetu Columbia, na maszynie wirtualnej?

Badany przez SOC przypadek, w momencie przekazania mu sprawy do analizy nie był jednoznaczny. Po wykonaniu zadań postawionych przez naukowców przed polskim programistą, zawartość jego portfela bitcoin pozostała nietknięta. On sam nie odnotował żadnych niepokojących symptomów w kontekście zachowania systemu operacyjnego. Pomimo tego niepokój pozostał.

Czy paranoja adresata tej korespondencji była uzasadniona? I na ile udzieliła się analitykom SOC Exatel badającym sprawę? Co łączy tę całą sprawę z mistycznym demonem z uniwersum Warhammer 40 000?

Odpowiedzi na te i wiele innych pytań będziecie mogli poznać, czytając najnowszy raport SOC Exatel. Jednocześnie prosimy o kontakt wszystkich, którzy podejrzewają, że również mogli prowadzić podobne dialogi z „naukowcami” w przeszłości i mają jakieś ślady wskazujące na to, iż osoby które z nimi się skontaktowały nie są tymi za które się podają.

Pełny raport SOC Exatel ma kilkadziesiąt stron – zachęcamy jednak do lektury całości, bo to nad wyraz ciekawy materiał i przykład bardzo solidnej i dogłębnej analizy zagrożenia. Mieliśmy już okazję się z nim zapoznać i chcieliśmy dać Wam przedsmak tego, co znajdziecie w dokumencie docelowym.

Bohater analizy, nakłoniony do współpracy przez rzekomych naukowców z szanowanych międzynarodowych uczelni, otrzymał dostęp do profesjonalnego, komercyjnego narzędzia statystycznego – w wersjach na platformy Windows, Linux i OS X. Pliki binarne znajdowały się na serwerach uczelnianych. Dodatkowo otrzymał imienną licencję. Jak pewnie się domyślacie, gdyby w udostępnionych paczkach było tylko oprogramowanie statystyczne, to nie powstałby raport o objętości kilkudziesięciu stron. Dołączone do plików złośliwe oprogramowanie okazało się być wcześniej nigdzie nie opisanym, wieloplatformowym koniem trojańskim. Koń trojański szyfruje swoją komunikację, sprytną sztuczką próbuje omijać firewalle aplikacyjne i umożliwia swojemu operatorowi pełną kontrolę nad komputerem ofiary za pomocą kilkudziesięciu wbudowanych funkcji.

Złośliwy program posiada także w swoich zasobach plik kdvm.dll. Co zawiera? Oddajmy głos Exatelowi:

[plik] jest elementem opensource’owego projektu VirtualKD autorstwa firmy SysProgs, służącego do współpracy z debugerami jądra WinDbg i KD oraz silnikami wirtualizacji VMWare i VirtualBox Oprogramowanie to zostało stworzone w celu usprawnienia pracy analityka poprzez znaczne przyspieszenie komunikacji GUEST – HOST w trakcie pracy. Moduł kdvm.dll (oryginalna nazwa pliku kdbazis.dll) służy do komunikacji między jądrem wirtualizowanego systemu, a zdalnym klientem GUI debuggera (WinDbg) znajdującym się na hoście. Alternatywny kanał komunikacji RPC zestawiany jest poprzez bezpośrednią modyfikację pamięci modułu debugera jądra KDCOM.DLL (instalacja hook’ów) służącego do komunikacji szeregowej (COM) z WinDbg. Samo patchowanie sterownika i instalacja hook’ów realizowana jest przez sterownik kdpatch.sys (składnik z oprogramowania ‘guest’ VirtualKD).

Po co plik znalazł się w złośliwym oprogramowaniu? Nie ma do niego żadnego odwołania w głównym kodzie. Czy jest elementem używanym do innej fazy ataku, takiej jak np. ucieczka z wirtualnej maszyny? A może celem ataku mogą być także analitycy złośliwego oprogramowania? Okazuje się, że identyczny plik obserwowano już we wcześniejszych atakach, które wykorzystywały jego cyfrowy podpis oraz lukę w sterowniku do ataku podniesienia uprawnień w systemie Windows. Co w całej sprawie najciekawsze, mechanizm ten wykorzystywało złośliwe oprogramowanie zwane Turla lub Uroburos, przypisywane działaniom szpiegowskim Rosji.

Szukając śladów innych analogicznych ataków badacze natrafili na dwa inne przypadki pojawienia się w sieci próbek podobnego złośliwego oprogramowania – oba z sierpnia tego roku. Niestety ani tożsamości innych ofiar, ani motywów atakujących pewnie nigdy nie poznamy.

Dziękujemy zespołowi SOC Exatel za kawał dobrej roboty i prosimy o więcej a Was zapraszamy do lektury całości raportu.

Podobne wpisy