Кибершпионская группировка, ответственная за кампанию MiniDuke, о которой впервые сообщили еще в 2013 году «Лаборатория Касперского» и CrySys, снова появилась на горизонте. Теперь она орудует новым бэкдором и новой платформой для атаки, которые использует одновременно только против крупных целей.

Новый шпионский инструмент называется Hammertoss. Он представляет собой любопытный экземпляр с точки зрения не только его шпионских возможностей, но и особой скрытности и склонности группировки использовать его против четко определенных целей. На данный момент шпионское ПО обнаружено в сети всего одной организации; кампанию приписывают российской группировке, которую исследователи из FireEye назвали APT29.

Получив доступ к целевой сети, APT29 внедряет Hammertoss, который общается с инфраструктурой посредством ссылок в соцсетях (в частности, в Твиттере), а также использует метод стеганографии на основе изображений, хранящихся в репозитории на GitHub или на скомпрометированных веб-сайтах, получая таким образом зашифрованные инструкции.

Такое поведение зловреда характерно для предыдущих кампаний MiniDuke: они использовали похожие каналы и тактики, но не прибегали к такой виртуозной обфускации.

«MiniDuke и другие инструменты, о которых стало известно некоторое время назад, являются частью одного и того же набора, — признал Джен Уидон (Jen Weedon), менеджер по анализу угроз в FireEye. — Он уникален, более сложен, а сценарий его использования имеет больше уровней. Если ничто не сработает — сработает Hammertoss».

«Также мы придерживаемся мнения, что Hammertoss используется только против целей высочайшей важности, — добавил Уидон. — Есть ощущение, что злоумышленники используют его выборочно, чего нельзя сказать о других широко распространенных наборах».

Несмотря на то что в FireEye не раскрыли ни имени единственной жертвы Hammertoss, ни отрасли, в которой она работает, предыдущие цели MiniDuke в основном были западными правительственными организациями или внешнеполитическими ведомствами, так что есть все основания полагать, что злоумышленники занимаются сбором стратегических разведданных. FireEye предполагает, что в атаках замешаны российские спецслужбы: на это указывает не только своеобразный выбор целей, но и то, что большинство атак происходят в течение рабочего дня по московскому времени, а затишье наступает во время российских праздников.

Согласно сведениям FireEye, Hammertoss был замечен в начале 2015 года во время расследования другого, более масштабного вторжения. Кроме того, исследователи обнаружили менее сложный вариант зловреда — очевидно, опциональный инструмент APT29.

«Это пример растущей изобретательности и изощренности APT-группировок, — сказал  Уидон. — Конкретно эта группировка уникальна своей способностью оставаться незамеченной и обходить защиту».

Возможно, самый интересный из вариантов зловреда носит название tDiscoverer. Он использует особый алгоритм общения с твиттер-аккаунтами, к которым шпион обращается после активации. Аккаунт в микроблоге при этом необходимо регистрировать вручную до активации.

Зловред рыщет среди твитов, опубликованных от имени этого аккаунта, в поиске хэштега, ссылки на изображение определенного размера и ключа для дешифрации. Примером такого твита может служить следующий: «Читайте doctorhandbook[.]com #101docto». При обращении к такому твиту бэкдор должен искать изображение объемом 101 байт, доступное по опубликованной ссылке, а ключ для дешифрации файла — «docto».

Представители FireEye сказали, что эти ссылки обычно ведут на репозитории на GitHub и взломанные сайты. Найдя нужное изображение и расшифровав прилагаемые данные при помощи предоставленного ключа, Hammertoss получает следующие инструкции, а в некоторых случаях — учетные данные для входа в облачный сервис хранения данных, где нужно сохранить похищенную информацию.

«Если смотреть на обмен информацией между Твиттером, GitHub и облачным хранилищем, с точки зрения информационной безопасности трафик не кажется вредоносным, — сказал Джордан Берри (Jordan Berry), специалист по аналитике угроз в FireEye. — В нашей практике мы уже встречались с такой тактикой, но впервые видим такую сложную комбинацию известных нам методов. Злоумышленники просто слили все в один мегазловред».

Специалистам по безопасности придется нелегко в борьбе с такой многоуровневой атакой. Группировка действует довольно гибко, и, если доступ к Твиттеру или GitHub на предприятии закрыт по соображениям безопасности, она может отдать команду загружать изображения из другого источника или использовать первоначальный вариант — Uploader, который получает инструкции с определенного командного сервера. В FireEye добавили, что уже замечали новые версии зловреда, в которых исправлены баги, добавлены новые возможности или реализованы новые средства обхода защиты.

«Этот хакерский инструмент — прекрасная иллюстрация особой скрытности и изощренности угроз, а также их развития, — подчеркнул Уидон. — Конкретно в этом случае даже не стоит выяснять, где была скомпрометирована инфраструктура и как можно заблокировать атаку, так как злоумышленники создали хитрый способ обхода средств безопасности».

Категории: Вредоносные программы, Главное, Другие темы, Кибероборона