Technológia

Kiberkémkedési kampány közép-ázsiai államokat célzott meg

Afganisztán, Kirgizisztán és Üzbegisztán kormányait mind egy kínai állam által támogatott előrehaladott tartós fenyegetés (APT) csoport, amelyet IndigoZebra néven emlegetnek, az Ellenőrző pont kutatás (CPR).

Úgy tűnik, hogy a csoport beszivárgott az afgán nemzetbiztonsági tanács (NSC) célzottan, személyre szabottan lándzsa adathalász támadás, küldött egy e-mailt egy felülvizsgálatra csatolt dokumentummal, amely az NSC-be való beszivárgás csábításaként az Afganisztán Elnöki Hivatalt utalta.

„A számítógépes kém felderítése továbbra is kiemelt fontosságú számunkra. Ezúttal egy folyamatos lándzsás adathalász kampányt észleltünk, amely az afgán kormányt célozta meg. Alapunk van feltételezni, hogy Üzbegisztán és Kirgizisztán is áldozatul esett. Megállapításainkat egy kínaiul beszélő fenyegetési szereplőnek tulajdonítottuk ”- mondta Lotem Finkelsteen, a Check Point fenyegetési hírszerzési vezetője.

A rosszindulatú dokumentum – amelynek állítólag köze volt a közelgő sajtótájékoztatóhoz – egy rosszindulatú programot tartalmazó archív fájl volt, jelszóval védett RAR-archívumnak álcázva, az „NSC Press conference.rar” néven.

Megnyitás után a kibontott fájl, az ‘NSC Press conference.exe’ néven, hátsó ajtó csepegtetőként működött. A gyanú csökkentése érdekében a rosszindulatú programok egy alattomos trükköt telepítettek – az e-mail tartalma, amely azt sugallta, hogy a csatolt fájl egy dokumentum, megnyitotta az első dokumentumot is, amelyet az áldozat asztalán talált.

„Itt figyelemre méltó az, hogy a fenyegetés szereplői hogyan alkalmazták a minisztériumok közötti megtévesztés taktikáját. Ez a taktika gonosz és hatékony abban, hogy bárki bármit megtegyen érted. Ebben az esetben a rosszindulatú tevékenységet a szuverenitás legmagasabb szintjén észlelték ”- mondta Finkelsteen.

Ezután a hátsó ajtó visszahívta a támadók által irányított és a Dropbox felhőtároló szolgáltatásban tárolt, előre konfigurált és minden áldozat számára egyedi mappát, amely címként szolgált, ahonnan további parancsokat húzott és tárolta a kiszűrt információkat – a Dropbox hatékony kihasználása a irányító központ. Amikor a csoportnak fájlt vagy parancsot kellett küldenie az áldozat rendszeréhez, az áldozat Dropbox mappájában lévő „d” nevű mappába fűzte őket, hogy a kártevő letöltse és letöltse.

“Figyelemre méltó, hogy a fenyegetés szereplői hogyan használják fel a Dropbox-ot, hogy elfedjék magukat a felismeréstől, ez a technika szerintem mindannyian tisztában kell lennünk velük, és vigyáznunk kell rá” – mondta Finkelsteen.

“Lehetséges, hogy más országokat is megcélzott ez a hackercsoport, bár nem tudjuk, hány vagy melyik ország. Ezért megosztjuk a támadásban jelenleg használt más lehetséges domainek listáját, remélve, hogy nevüket más kiberkutatók is felhasználhatják saját eredményeinkhez való hozzájárulásuk érdekében. “

Végül a csoport számos műveletet hajtott végre az NSC rendszerein, beleértve egy letapogató eszköz letöltését és végrehajtását, amelyről ismert, hogy több APT szereplő, köztük a kínai APT10, széles körben használja; a Windows beépített hálózati segédprogramjának végrehajtása; valamint az áldozat aktáihoz való hozzáférés és azok ellopása.

Az Afganisztánt célzó kampány mellett a CPR két másik közép-ázsiai ország, Kirgizisztán és Üzbegisztán politikai testületeit is megcélozta – a viktimológia specifikus mutatói megtalálhatók a teljes technikai jelentésben.

Az IndigoZebra csoportot egy ideje ismeri a kiberbiztonsági közösség, és kampányát vélhetően több évre nyúlik vissza, esetleg 2014-ig – mondta a CPR.

2017-ben Kaspersky tudomásul vette a közép-ázsiai volt szovjet köztársaságok elleni kampányt sokféle rosszindulatú program használatával, beleértve a Meterpreter, Poison Ivy és az xDown programokat. Kasperksy elmondta, hogy valószínűleg hírszerzést folytat, és ugyanebben az évben később azt javasolta, hogy az IndigoZebra kifejezetten az országokat célozza meg hogy tárgyalásokat folytatott Oroszországgal.