Возможность существования связи между APT-группой Turla и кибершпионскими операциями Moonlight Maze далеких 90-х Томас Рид (Thomas Rid) впервые озвучил на прошлогоднем саммите SAS. Ныне, спустя год, эксперт совместно с Костином Раю (Costin Raiu) и Хуаном Герреро-Сааде (Juan Andrés Guerrero-Saade) из «Лаборатории Касперского» представил новые доказательства, способные положить конец всем сомнениям.

Русскоязычные участники Turla прославились умелым использованием спутниковой связи для кражи секретной информации из правительственных и дипломатических учреждений, военных, образовательных, исследовательских организаций, а также фармацевтических компаний. В своих атаках эти хакеры также применяют метод водопоя, множество скрытных бэкдоров и продвинутое вредоносное ПО.

Moonlight Maze — одна из первых масштабных шпионских операций, проводимых онлайн. Ее целями являлись правительственные структуры США, в том числе Пентагон, НАСА и министерство энергетики. В то время, отсчет которого для Moonlight Maze начался в 1996 году, эти акты кибершпионажа могли бы считаться образцовыми.

Тем не менее между ранней Moonlight Maze с ее заточенными под UNIX атаками и современной Turla, сфокусированной на Windows, существует большой разрыв. Исследователи полагают, что связующим звеном в данном случае являются атаки Penguin Turla от 2011 года, о которых «Лаборатория Касперского» поведала миру в 2014 году. Кампания Penguin Turla была нацелена на Linux-машины; на них устанавливалась программа-бэкдор, созданная на основе open-source-проекта LOKI2, который был опубликован в сентябре 1997 года в интернет-журнале Phrack.

«По нашим наблюдениям, ни одна современная группировка этим инструментом не пользуется, — сказал Герреро-Сааде. — Вместе с тем бэкдор Penguin Turla был основан именно на нем. Это очень интересный инструмент, который, по всей видимости, был в чести у участников Moonlight Maze». Со слов эксперта, «Лаборатории» удалось собрать 45 бинарников из арсенала Moonlight Maze; девять из них являются сэмплами бэкдора LOKI2.

Если это действительно связующее звено между Moonlight Maze и Turla, последнюю можно смело причислить к APT-элите, уравняв с Equation по стажу и возможностям. Equation, по убеждению многих тесно связанная с АНБ, — это еще одна APT-группа, о которой доподлинно известно, что она уже действовала в 1996 году. «Это переводит Turla совсем в иную лигу», — отметил Герреро-Сааде.

KL Moonlight Maze mapping

Хотя докладчик воздержался от знака равенства между Moonlight Maze и Turla, подобные доказательства их взаимосвязи и другие артефакты, найденные за последние годы, прибавляют исследователям уверенности. Герреро-Сааде также сказал, что он был ошеломлен, когда обнаружил, что инструмент 20-летней давности сохранил значимость и использовался в 2011 году, а может, и вплоть до наших дней в сложных атаках на современные компьютеры.

«Это говорит о ненадлежащем уровне защищенности Linux и неосведомленности или излишней самонадеянности некоторых администраторов Linux-систем, что весьма неразумно, если эти системы работают в госучреждении или корпоративной среде, — предупреждает Герреро-Сааде. — Этим парням (Moonlight Maze) не нужно было играть в кошки-мышки с производителями антивирусов или переписывать тулкит по 30 раз, прогоняя его через VirusTotal и надеясь, что он сохранит работоспособность. Просто оторопь берет, когда обнаруживаешь, что усовершенствованные образцы Penguin Turla основаны на коде 20-летней давности, по-прежнему привязаны к библиотекам, созданным в 1999–2004 годах, и при этом прекрасно работают на современных машинах. На Windows такого не встретишь».

Не менее увлекательной оказалась работа по выявлению адаптивности инструментария Moonlight Maze и его потенциала в отношении атак против UNIX, Linux и Windows. Используя прошлогоднюю презентацию Рида и другие материалы, ею не охваченные, исследователи прилежно, по кирпичику воссоздавали хронологию событий, от первых тулкитов Moonlight Maze, работавших под UNIX и Solaris, до Linux-инструментов Penguin Turla и новейших Windows-атак.

Они установили, например, что бэкдор LOKI2, предположительно являющийся связующим звеном, был скомпилирован для Linux-версий 2.2.0 и 2.2.5, выпущенных в 1999 году, а статически прикомпонованные бинарные файлы libpcap и OpenSSL соответствовали версиям, появившимся в начале 2000-х. Эти старомодные артефакты использовались в атаках в период с 2011 по 2016 год, причем новейший сэмпл Penguin был обнаружен в Германии месяц назад.

Для сбора оригинальных артефактов нужна удача, и исследователям сильно повезло, когда они познакомились с британцем Дэвидом Хеджесом (David Hedges), ушедшим на покой IT-администратором. Много лет назад Хеджесу удалось с помощью лондонской полиции и ФБР запротоколировать компрометацию Solaris-сервера в результате атаки Moonlight Maze, и эта машина у него сохранилась, причем в рабочем состоянии. Злоумышленники полгода использовали этот сервер как релей в атаках на высокопоставленные цели в США, и в логах, в том числе созданных атакующими, были отражены все события нажатия клавиш, происходившие в это время на сервере. На нем также сохранился тулкит с 43 бинарниками.

«Это было поразительно, — рассказывает Герреро-Сааде. — Мы, как дети, наслаждались этими находками… Сэмплы и логи были настоящим сокровищем. Чем больше мы смотрели на них, тем яснее представляли себе соединения, проходящие через этот прокси — крохотное звено в реальной атаке».

Исследователи также горят желанием заполучить тулкит Storm Cloud, который Moonlight Maze взяла на вооружение в 1999 году, после того как ее первые атаки стали достоянием общественности. О существовании Storm Cloud стало известно через четыре года после его дебюта. Этот тулкит тоже предполагал использование модификации LOKI2 в атаках на такие мишени, как быстродействующие компьютеры министерства обороны США, выполняющие тестирование ракетного оружия.

«Мы пытаемся привлечь к поиску широкую общественность, — говорит Герреро-Сааде. — Первый доклад Томаса помог нам отыскать Дэвида и узнать больше о Moonlight Maze. Нам нужна помощь. Нам нужен второй Дэвид Хеджес, кто-то с доступом к артефактам Storm Cloud, способным подтвердить крепость этой связи».

Категории: Аналитика, Вредоносные программы, Главное, Хакеры