Операция Potao: анализ вредоносного ПО для кибершпионажа, часть 1

от автора

Аналитики нашей антивирусной лаборатории провели расследование серии кибератак и вредоносных кампаний с использованием вредоносного ПО Win32/Potao. Несмотря на то, что антивирусные продукты нашей компании, а также некоторые другие антивирусные вендоры, уже обнаруживали это вредоносное ПО, оно оставалось вне публичного поля. Первые образцы Win32/Potao датируются 2011 г.

Кибератаки с использованием Potao относятся к типу направленных атак, некоторые примеры которых мы уже рассматривали ранее. Речь идет о вредоносном ПО BlackEnergy (a.k.a. Sandworm, Quedagh), которое преобладает на Украине, в России, а также в некоторых странах СНГ, включая, Грузию и Беларусь.

Жертвами Potao стали компьютерные сети военных и правительства Украины, а также одно из ведущих украинских новостных агентств. Кроме этого, вредоносная программа использовалась злоумышленниками для шпионажа за участниками финансовой пирамиды МММ, которая является популярной и в России, и на Украине. Одна из наиболее интересных особенностей этой вредоносной кампании заключается в том, что злоумышленники компрометировали известное open-source легитимное ПО для шифрования TrueCrypt, а затем использовали его для распространения вредоносного ПО.

Российский веб-сайт этого инструмента шифрования с адресом truecryptrussia.ru распространял приложение TrueCrypt, которое содержало бэкдор. Интересная особенность заключается в том, что вредоносные экземпляры этого приложения доставлялись только некоторым пользователям, что является индикатором направленности этой вредоносной кампании. Эта особенность также объясняет тот факт, что бэкдор долгое время оставался незаметным для пользователей и посетителей указанного веб-сайта. Этот вышеуказанный домен использовался операторами в качестве управляющего C&C-сервера для вредоносной программы. В некоторых случаях Win32/Potao загружается на компьютер другой вредоносной программой, которая обнаруживается нашими продуктами как Win32/FakeTC.

Наш отчет содержит детальную информацию о большом количестве атак с использованием Win32/Potao, которые злоумышленники организовывали на протяжении последних 5 лет. Аналогично вредоносному ПО BlackEnergy, которое использовалось кибергруппой Sandworm, Potao представляет из себя универсальный модульный инструмент для кибершпионажа. Кибератаки, в которых использовался Potao, относятся к типу Advanced Persistent Threat (APT) и являются направленными (targeted). Мы наблюдали лишь единичные случаи использования Potao в массовых вредоносных кампаниях.

Общая информация

Как мы уже упоминали ранее, вредоносное ПО Potao не является новым, оно было обнаружено еще в 2011 г. Одной из возможных причин, по которой это вредоносное ПО еще не было публично освещено, является его активность. В период с 2011 по 2013 гг. количество обнаружений этой вредоносной программы было низким. Значительный рост распространенности Potao, по данным ESET LiveGrid, наблюдался в 2014 и 2015 гг. (Рис 1.)


Рис. 1. Статистика распространения Win32/Potao в разные промежутки времени по данным ESET LiveGrid.

На диаграмме выше видно, что мы не привели статистику для Win32/Potao за 2011 г. Это было сделано по той причине, что в этот период времени Potao распространялся злоумышленниками в рамках массовых кампаний, т. е. в это время вредоносная программа не использовалась в направленных атаках против пользователей. Отладочные версии Potao, обнаруженные в 2013 г., также были исключены из данных диаграммы.

Использование Potao в массовых кампаниях против пользователей делает его похожим на такое вредоносное ПО как BlackEnergy или, даже, Stuxnet. Эти известные вредоносные программы применялись злоумышленниками для направленных кибератак, но в конечном счете получили широкое распространение, заражая и тех пользователей, для которых они не были рассчитаны изначально. В процессе расследования вредоносных кампаний с участием Potao мы обнаружили, что злоумышленники использовали отладочные версии этого вредоносного ПО для его тестирования перед эксплуатацией в направленных атаках.

Основной причиной роста количества обнаружений Potao в 2014 и 2015 гг. был добавленный злоумышленниками механизм заражения съемных USB-носителей.


Рис. 2. Хронология вредоносных кампаний с использованием Potao.

Для составления вышеуказанной хронологии использовались данные нашей облачной системы ESET LiveGrid, а также временные метки исполняемых PE-файлов вредоносной программы.

Первая киберкампания с использованием Potao была зафиксирована в августе 2011 г. Это не была направленная атака, так как она носила массовый характер. Исполняемые файлы вредоносной программы, которые использовались в этой кампании, содержали зашифрованную строку GlobalPotao.

Механизм распространения Potao в этой вредоносной кампании был довольно тривиальным, но довольно эффективным. Дропперы вредоносной программы распространялись в качестве вложений фишинговых сообщений электронной почты, при этом в качестве значка исполняемого файла использовался значок документов MS Word. Подобная маскировка помогает усыпить внимание пользователей, которые получают такие фишинговые сообщения. Нужно отметить, что злоумышленники не использовали какие-либо эксплойты для автоматической установки вредоносной программы. Кроме полезной нагрузки, дропперы содержали фальшивый документ Word, который отображался пользователю для маскировки процесса установки вредоносной программы в систему.


Рис. 3. Фальшивый decoy-документ (приманка), который дроппер Potao показывает пользователю для маскировки процесса своей установки в систему.

Другие дропперы Potao, которые использовались во вредоносных кампаниях в 2011 г., содержали документы на армянском языке. Интересно отметить, что в качестве одного из decoy-документов использовался легитимный документ, принадлежащий министерству труда и социальных дел Армении (Armenian Ministry of Labor and Social Affairs).


Рис. 4. Легитимный decoy-документ на армянском языке, который использовался в дропперах Potao в 2011 г.

Другая вредоносная киберкампания была направлена злоумышленниками на участников финансовой пирамиды «МММ». Исполняемые файлы Potao, которые использовались в кампании против участников МММ, имели временные метки компиляции 27 апреля 2012 г. и идентификатор (ID) кампании 00km. Фальшивый decoy-документ использует тему вступления в пирамиду.


Рис. 5. Decoy-документ дроппера, который был использован во вредоносных кампаниях против участников МММ.

В этой вредоносной кампании также были обнаружены дропперы Potao с decoy-документами, которые содержали случайные последовательности кириллических символов. Как мы обнаружили позднее, использование документов с произвольными наборами символов, является своего рода брендом этой кибергруппы.


Рис. 6. Decoy-документ, который использовался во вредоносных кампаниях против участников МММ.

Файл, который указан выше, был назван злоумышленниками «Отчет о выплате Ковалевой Александре.exe». Кроме этого, идентификатор вредоносной кампании (campaign ID) mmmL подтверждает использование вредоносного ПО злоумышленниками против пользователей МММ.

Основатель пирамиды МММ Сергей Мавроди, 19-го июня 2012 г. опубликовал на сайте пирамиды предупреждение о том, что злоумышленники рассылают от его имени фишинговые сообщения, которые содержат ссылку на вредоносное ПО, размещенное на Dropbox.


Рис. 7. Сообщение с предупреждением о вредоносной рассылке от основателя МММ Сергея Мавроди.


Рис. 8. Архив с вредоносной программой, размещенный на сервисе Dropbox.

Злоумышленники использовали следующие названия файлов, которые указаны выше: «Анкета и правила», «anketa_i_pravidla», дропперы содержали метку компиляции 13 июня 2012 г. и ID кампании «NMMM».

Мы можем предположить, что операторы Potao использовали это шпионское вредоносное ПО для шпионажа за участниками или организаторами этой финансовой пирамиды.

В 2013 г. следы Potao были обнаружены в Грузии. Исполняемый файл вредоносной программы, который имел временную метку от 15 октября 2013 г., назывался «Wedding_invitation.exe». На этот раз decoy-документ содержал текст свадебного приглашения. Название файла и текст документа содержали текст на английском языке.


Рис. 9. Внешний вид decoy-документа, который использовался в дропперах Potao, нацеленных на пользователей Грузии.

Potao на Украине

Перед тем как обнаружить рост активности Win32/Potao на Украине в 2014 г., мы обнаружили несколько отладочных (debug) версий этой вредоносной программы осенью 2013 г. Можно предположить, что злоумышленники тестировали новую версию вредоносной программы перед ее использованием в направленных кибератаках на украинских пользователей.


Рис. 10. Фрагмент кода отладочной версии вредоносной программы.

Интересно отметить, что один из идентификаторов кампании в этих отладочных версиях Potao представлял из себя слово krim (Крым).

В марте 2014 г. преступная группа переключилась на использование нового вектора распространения Potao. Они начали использовать т. н. «веб-страницу посадки» (landing page) для установки вредоносной программы. Веб-страница называлась MNTExpress. Мы полагаем, что дизайн этого веб-сайта был взят у веб-сайт российской почтовой службы Pony Express.


Рис. 10. Внешний вид веб-страницы службы доставки Pony Express.


Рис. 11. Внешний вид веб-страницы MNTExpress.

Маскировка фишингового сообщения в качестве уведомления почтовой службы является очень распространенным методом у злоумышленников для распространения вредоносных программ. Инструкции на загрузку вредоносной программы могут располагаться в теле сообщения. Однако, кибергруппа Potao использует иной подход. Предполагаемые жертвы получали SMS-сообщения, которые содержали ссылку на веб-страницу с вредоносной программой. Жертве также отправлялся специальный «код отслеживания» (tracking code), а также имя получателя. Этот метод также является очередным индикатором направленности кибератаки, так как, во-первых, злоумышленникам нужно было провести разведку и получить полное имя жертвы, а также номер ее телефона. Во-вторых, для получения файла вредоносной программы жертве нужно было ввести отправленный ей код в SMS-сообщении.


Рис. 12. SMS-сообщение, отправленное злоумышленниками.


Рис. 13. Один из получателей SMS-сообщения от злоумышленников пытается получить информацию о нем в публичной группе социальной сети vkontakte.

Схожий сценарий распространения вредоносного ПО был использован злоумышленниками уже в марте 2015 г. На этот раз злоумышленники зарегистрировали домен WorldAirPost.com, а дизайн для веб-сайта был взят у почтовой службы Сингапура. Они просто заменили логотип с «Singapore Post» на «Italy Post».


Рис. 14. Внешний вид легитимного веб-сайта почты Сингапура.


Рис. 15. Внешний вид фальшивого веб-сайта WorldAirPost.com.

На момент нашего анализа, злоумышленники были все еще активны, зарегистрировав еще один домен WorldAirPost.net в июне 2015 г. Нужно отметить, что MNTExpress поддерживал два языка русский и английский, а WorldAirPost только английский. При использовании этого веб-сайта, злоумышленники прибегали к маскировке дропперов в качестве документа MS Excel, а не Word.

Кроме этого, вместо отображения decoy-документа (приманка), дроппер показывает пользователю специальное системное сообщение (Рис. 16).


Рис. 16. Системное сообщение, отображаемое дроппером пользователю при запуске в системе.

Начиная с марта 2015 г., наша антивирусная лаборатория обнаруживала вредоносные файлы Potao на компьютерах украинских военных и правительственных организаций, а также на компьютерах одного из крупнейших украинских новостных агентств. Распространяемые дропперы маскировались в качестве документов MS Word и им были присвоены осмысленные названия файлов.


Рис 17. Названия файлов дропперов, которые использовались в кибератаках на высокопоставленные учреждения на Украине.

Видно, что названия файлов указывают на их направленность на военные и правительственные учреждения Украины. Decoy-документ дропперов, видимо, был поврежден (Рис. 18).


Рис. 18. Внешний вид decoy-документа, который был использован в дропперах Potao от 5 марта 2015 г.

Компрометация приложения шифрования TrueCrypt

В процессе мониторинга ботнета Potao, мы обнаружили заражения компьютеров, которые изначально были выполнены другим вредоносным ПО с использованием подозрительных веб-сайтов.

Нами было установлено, что Win32/Potao устанавливался в систему с использованием исполняемого файла с названием TrueCrypt.exe. На первый взгляд в этом не было ничего удивительного, поскольку злоумышленники часто присваивают специальные доверенные названия вредоносным файлам. Однако, в этом случае дело обстояло иначе, поскольку дроппер Potao представлял из себя скомпрометированную версию легитимного ПО для шифрования под названием TrueCrypt. Дальнейшее расследование показало, что такая модификация TrueCrypt распространялась через веб-сайт truecryptrussia.ru. Более того, нам удалось установить факт использования злоумышленниками этого доменного имени в качестве одного из адресов управляющего C&C-сервера. Этот факт приводит нас к мысли о том, что данный сайт не является легитимным, а был изначально задуман владельцами для проведения вредоносных операций. Таким образом, сам веб-сайт и ПО под названием «TrueCrypt Russia» использовались для выполнения следующих вредоносных функций.

  1. Хостинг вредоносной модификации ПО для шифрования TrueCrypt.
  2. Как следствие первого пункта, хостинг вредоносного ПО Win32/Potao.
  3. Адрес веб-сайта использовался в качестве управляющего C&C-сервера для Win32/Potao.

Следует отметить, что не каждый посетитель вышеуказанного веб-сайта загрузит именно вредоносную модификацию TrueCrypt. Механизм загрузки вредоносной копии организован на выборочной основе. Это является еще одним доказательством направленности кибератаки с использованием Potao.


Рис. 19. Веб-страница TrueCrypt Russia.

Согласно нашей статистике ESET LiveGrid, указанный веб-сайт распространял вредоносную версию ПО TrueCrypt, по крайней мере, с июня 2012 г. В данном случае, временные метки файлов вредоносного ПО относятся к апрелю 2012 г.

Грузинская киберкампания

В подтверждение того факта, что злоумышленники, стоящие за Potao, были очень активны даже на момент написания этого исследования, можно привести один из дропперов вредоносной программы с датой компиляции 20 июля 2015 г. Дроппер использовался для компрометации пользователей в Грузии. На этот раз decoy-документ представлял из себя файл PDF.


Рис. 20. Пример decoy-документа из «грузинского дроппера».

ссылка на оригинал статьи http://habrahabr.ru/post/263855/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *