По данным Mandiant (собственность FireEye), криминальная группа APT29, она же Cozy Bear, уже два года использует технику domain fronting для сокрытия бэкдор-доступа к избранным мишеням.

Согласно записи Мэтью Данвуди (Matthew Dunwoody) в блоге FireEye, спонсируемые государством хакеры используют возможности сети Tor и специализированный плагин, создающий видимость, будто трафик направлен в легитимный домен — к примеру, принадлежащий Google. Техника domain fronting, помогающая скрыть конечную точку интернет-соединения, была впервые описана исследователями из Калифорнийского университета в Беркли в 2015 году. Она позволяет поддерживать HTTPS-связь с нужным хостом и защищать его от блокировки.

Плагин meek, разработанный в рамках проекта Tor, ретранслирует HTTPS-запросы через сторонний сервер, обычно через сеть CDN, ассоциированную с множеством доменов. Для непосвященных это выглядит так, будто браузер ведет обмен с неким легитимным сайтом в основном домене. Эта техника сокрытия обычно используется для обхода интернет-цензуры и политик сетевых экранов.

Данвуди пишет, что для сохранения бэкдора участники APT29 создали скрытый сервис Tor. Шифрованный сетевой туннель позволяет переадресовывать трафик с клиента на локальные порты 139 (NetBIOS), 445 (SMB) и 3389 (Terminal Services). «Это обеспечило полноценный удаленный доступ к атакуемой системе за пределами локальной сети с использованием скрытого Tor-адреса (.onion) для этой системы», — рассказывает Данвуди.

Снаружи это выглядело как поток обычных запросов HTTPS POST, направляемых по TLS якобы к Google-сервисам (в домен google.com). Google, по свидетельству Mandiant, уже отключила используемый APT29 сервер-отражатель, meek-reflect.appspot.com, но признала, что и другие серверы ее облачной инфраструктуры и поддерживаемых CDN могут быть использованы таким же образом.

Для сохранения своего присутствия данная APT-группа также использует Windows-функцию Sticky Keys (залипания клавиш), призванную упростить работу с клавиатурой. Злоумышленники заменяют бинарник Sticky Keys командным процессором Windows (cmd.exe); в итоге пятикратное нажатие клавиши Shift открывает командный шелл уровня системы.

«Из этой оболочки атакующий сможет исполнять произвольные команды Windows, в том числе добавлять и модифицировать учетные записи, причем прямо с экрана входа в систему (без аутентификации), — пишет Данвуди. — Туннелирование входящего RDP-трафика позволяет злоумышленникам получить как постоянный доступ, так и повышенные привилегии с помощью этого незамысловатого и хорошо известного эксплойта».

По словам эксперта, использование широкодоступного софта, Tor, в сочетании с meek помогает APT29 надежно скрывать свои операции. «На стороне сети обнаружение требует проникновения в TLS и видимости всех подключений к Google, что исключает отслеживание необычных IP и принятие других подобных мер, — пояснил Данвуди для Threatpost. — Использование инструментов, находящихся в открытом доступе, позволило им достигнуть того, что потребовало бы годы усердной разработки. На стороне конечной точки обнаружение намного проще, если знать ходовые способы получения несанкционированного доступа. Когда мы столкнулись с этим, все стало ясно за пару минут. Защитников может ввести в заблуждение тот факт, что файлы сами по себе не являются вредоносными и хорошо вписаны в окружающую обстановку».

О бэкдоре APT29 Данвуди и Ник Карр (Nick Carr), старший руководитель отдела Mandiant по реагированию на ИБ-инциденты и оказанию консультационных услуг, впервые рассказали прошлой осенью на конференции DerbyCon. Технические подробности методов, используемых этими хакерами, публикуются впервые.

Со слов Данвуди, APT29 взяла на вооружение domain fronting в начале 2015 года, еще до публикации университетских исследователей. «С недавних пор внимание к domain fronting в среде пентестеров и исследователей повысилось, а значит, можно ожидать расширение применения этой техники, — предупреждает Данвуди. — APT29, насколько мне известно, пока единственная группа, которая ее освоила».

В некоторых странах domain fronting начала использоваться на Android-версии защищенного мессенджера Signal в прошлом году. В декабре основатель Open Whisper Systems Мокси Марлинспайк (Moxie Marlinspike) писал, что, когда пользователь Signal, проживающий в Египте или ОАЭ, отправляет сообщения через этот сервис, это выглядит так, будто это обычные HTTPS-запросы к google.com. Если власти захотят фильтровать сообщения Signal, им придется заблокировать весь домен google.com.

APT29 приобрела широкую известность после ноябрьских атак против американских политологов и некоммерческих организаций, а также после утечки документации национального комитета Демпартии США, произошедшей летом прошлого года. Данная APT-группа, которой приписывают российские корни, также, по утверждению Crowdstrike, являлась инициатором атак против Белого дома, Госдепартамента США и объединенного комитета начальников штабов, зафиксированных прошлым летом. Некоторые полагают, что APT29 первой начала использовать бэкдор, засветившийся в MiniDuke-кампании, вскрытой «Лабораторией Касперского» и CrySys в 2013 году, а также шпионский инструмент Hammertoss, обнаруженный FireEye в 2015 году.

Категории: Аналитика, Хакеры