Rosja to jeden z najważniejszych graczy na arenie wojen cybernetycznych. Potwierdza to analiza przeprowadzona we współpracy Intezer i Check Point Research, która pozwoliła na odwzorowanie rosyjskiego ekosystemu do przeprowadzania ataków APT (Advanced Persistent Threats) na niespotykaną dotąd skalę. Gromadząc i klasyfikując tysiące szkodliwych próbek oraz wykorzystując technologię Intezer do wykrywania i analizowania podobieństw między kodami, możliwe jest teraz przeglądanie różnych powiązań między rodzinami złośliwego oprogramowania a domniemanymi jednostkami rosyjskiego rządu w jednym miejscu.

Gdy w ostatnim odcinku popularnego serialu HBO „Czarnobyl” prokurator zapytał profesora Walerija Legasowa, jaka była przyczyna podjęcia skandalicznej decyzji, która doprowadziła do katastrofy w Czarnobylu, Legasow odpowiedział, że przyczyna była taka sama, jak w przypadku ignorowania innych środków bezpieczeństwa i przymykania oczu na pewne sprawy w ówczesnym Związku Radzieckim: „tak jest taniej”. 

Źródło: https://www.filmweb.pl/serial/Czarnobyl-2019-799827/photos/817862
Źródło: https://www.filmweb.pl/serial/Czarnobyl-2019-799827/photos/817862

Z badań, które Check Point Research przeprowadził na bezprecedensową skalę wspólnie z firmą Intezer wynika, że twierdzenie prof. Legasowa nie ma odniesienia do rosyjskich cyberdziałań.

Nazwy takie jak Turla, Sofacy czy APT29 budzą, a nawet powinny budzić niepokój. Są to jedne z najbardziej zaawansowanych, rozbudowanych i nie bez powodu okrytych złą sławą grup specjalizujących się w atakach APT. Jednostki te, których utworzenie przypisuje się Rosji, stanowią część większego obrazu, według którego Rosja stanowi jedną z największych potęg we współczesnych wojnach cybernetycznych. Ich zaawansowane narzędzia, nowatorskie strategie i solidna infrastruktura sugerują istnienie gigantycznych i złożonych operacji, w których udział biorą różne rosyjskie organy wojskowe i rządowe.

W ciągu ostatnich trzech dziesięcioleci Rosja zasłynęła prowadzeniem różnego rodzaju cyberoperacji szpiegowskich i sabotażowych. Począwszy od pierwszych, powszechnie znanych ataków autorstwa Moonlight Maze w 1996 r., przez włamanie się do systemów Pentagonu w 2008 r., odcięcie prądu w Kijowie w 2016 r., atak hakerski związany z wyborami w USA w 2016 r., po jeden z największych i najsłynniejszych cyberataków w historii – atak na cały kraj przy użyciu oprogramowania szantażującego NotPetya.

W istocie liczne operacje Rosjan i rodziny złośliwego oprogramowania zostały publicznie zdemaskowane przez różne firmy zajmujące się cyberbezpieczeństwem i agencje wywiadowcze, takie jak FBI czy estońska Służba Wywiadu Zagranicznego. Choć wszystkie te działania rzucają światło na konkretne rosyjskie jednostki i operacje, szerszy kontekst pozostaje niejasny.

Rosja - hakerzy
Infografika opublikowana w raporcie estońskiej Służby Wywiadu Zagranicznego.

Niepewność przesłaniająca te złożone operacje uświadamia, że eksperci choć wiedzą już wiele o pojedynczych jednostkach, to nie są jeszcze w stanie dostrzec całego ekosystemu obejmującego interakcje między jednostkami (lub ich brak), a także konkretne techniki, taktyki i procedury (tzw. TTPs), które mogliby ukazać w głębszym kontekście.

Check Point Research podjął decyzję, by dowiedzieć się więcej i spojrzeć na te kwestie z szerszej perspektywy. Zgromadził, sklasyfikował i przeanalizował tysiące próbek złośliwego oprogramowania autorstwa rosyjskich grup APT, aby odnaleźć powiązania — nie tylko między próbkami, ale również między różnymi rodzinami i jednostkami.

W trakcie badań eksperci przebadali około 2000 próbek, których autorstwo przypisuje się Rosji i znaleźli 22 000 powiązań między próbkami oraz 3,85 miliona fragmentów współdzielonego kodu. Próbki zaklasyfikowano do 60 rodzin oraz 200 różnych modułów.

Najważniejsze ustalenia

  • Niniejsze badanie jest pierwszym i najbardziej kompleksowym badaniem tego typu.
    • Po raz pierwszy zgromadzono, sklasyfikowano i przeanalizowano tysiące próbek w celu ustalenia powiązań między różnymi organizacjami cyberszpiegowskimi należącymi do supermocarstwa.
  • W większości przypadków jednostki rosyjskie nie współdzielą między sobą kodu.
    • Choć każda z jednostek ponownie wykorzystuje wcześniejszy kod w różnych operacjach, a także w różnych rodzinach złośliwego oprogramowania, nie istnieją pojedyncze narzędzia, biblioteki lub platformy programistyczne, które są współdzielone między różnymi jednostkami.
  • Każda jednostka lub organizacja działająca pod szyldem rosyjskich grup APT ma swoje własne, dedykowane zespoły pracujące równolegle latami nad podobnymi zestawami narzędziowymi i platformami dla złośliwego oprogramowania. Ponieważ wiele z tych zestawów narzędziowych ma jednakowe zastosowanie, możliwe jest dostrzeżenie nadmiarowości w tych równoległych działaniach. 
  • Niniejsze ustalenia mogą sugerować, że Rosja wkłada wiele wysiłku w swoje bezpieczeństwo operacyjne.
    • Dzięki temu, że różne organizacje korzystają z różnych narzędzi do prowadzenia ataków na rozmaite cele, ograniczone zostaje ryzyko, iż jedna wykryta operacja spowoduje zdemaskowanie innych aktywnych operacji.
  • Udało się zweryfikować uprzednio zgłoszone powiązania między różnymi rodzinami, co potwierdza analiza podobieństw kodu.
  • Eksperci publikują kilka narzędzi do użytku społeczności badawczej:
    • Interaktywną mapę połączeń między dziesiątkami rodzin rosyjskiego oprogramowania APT oraz ich komponentami.
    • Działające na bazie sygnatur narzędzie do skanowania hosta lub pliku pod kątem powszechnie stosowanych fragmentów kodu rosyjskiego oprogramowania APT.

Pełna analiza znajduje się pod adresem: https://research.checkpoint.com/russianaptecosystem/

Przeskanuj komputer narzędziem Russian APT Detector

Badacze z Check Point Research wraz z estońskim wywiadem, mając do dyspozycji wiele milionów fragmentów kodu rosyjskiego złośliwego oprogramowania, opracowali narzędzie do skanowania komputerów. Organizacje, przedsiębiorstwa, zespoły CERT, niezależni eksperci oraz osoby prywatne, mogą uruchomić darmowy skaner i sprawdzić system operacyjny pod kątem ukrytego, rosyjskiego szkodliwego oprogramowania.

Narzędzie nazwano Rosyjskim Detektorem APT (Russian APT Detector)
Po zakończonym skanowaniu narzędzie wyświetli komunikat "DONE".

Narzędzie nazwano Rosyjskim Detektorem APT (Russian APT Detector), które bazuje na pewnych wskaźnikach, sumach kontrolnych plików i wbudowanych sygnaturach YARA, które zawierają informacje o plikach i procesach, a także o połączeniach sieciowych procesów z serwerami C&C. Narzędzie wykonuje skanowanie w pamięci RAM, szukając określonych łańcuchów znaków (np. nazwy plików lub ścieżek), które znane są z wykorzystywania przez odpowiednie rodziny złośliwego oprogramowania. W przypadku odnalezienia pasujących łańcuchów znaków, narzędzie informuje użytkownika o możliwej infekcji. Russian APT Detector służy do wykrywania zaawansowanego złośliwego oprogramowania, które umożliwiają hakerom uzyskanie pełnego dostępu do zainfekowanego systemu.

Narzędzie jest bezpłatnie. Każda firma posiadająca własny skaner bądź rozwiązanie zabezpieczające, może wykorzystać opracowane reguły YARA, aby lepiej chronić swoich klientów.

1. Pobieranie narzędzia: https://apt-ecosystem.com/russia/detector/

2. Ściągnięty plik Detector.7z trzeba wypakować.

3. Aby przeskanować system operacyjny, należy otworzyć CMD lub Powershell.

Opcjonalnie wiersz polecenia można uruchomić jako administrator.
Opcjonalnie wiersz polecenia można uruchomić jako administrator, aby skaner uzyskał dostęp do obszarów chronionych.

Następnie w wierszu poleceń przechodzimy do katalogu z wypakowanym narzędziem „Detector.exe” np.: [...]

cd c:\users\test\download\RussianAPTDetector

[...] i wydajemy polecenie:

Detector.exe -r -t c:
  • Gdzie -r, to skanowanie wszystkich plików i katalogów w podanej lokalizacji.
  • Gdzie -t, to wskazanie na skanowany obiekt.
  • Gdzie c, to litera dysku.

Skanowanie może potrwać od kilkunastu do kilkudziesięciu minut. Narzędzie w czasie rzeczywistym wyświetla pliki i katalogi niemożliwe do przeskanowania (odmowa dostępu). W przypadku znalezienia problemów z bezpieczeństwem, prosimy o kontakt na [email protected]

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

txkx ndz., 29-09-2019 - 01:37

Ten Detector to chyba jakoś słabiutko działa, gdyż jedyny widoczny rezultat to komunikaty "error scanning" ... ale może ma jakieś funkcje ukryte, których nie zauważyłem:

Russian APT Detector
Read more at: https://apt-ecosystem.com

[+] Beginning YARA scan...
[+] You may ignore file-specific errors
error scanning c:\hiberfil.sys: could not open file
error scanning c:\pagefile.sys: could not open file
error scanning c:\Program Files\Dell\DellDataVault\Archive\xxxxxxxx_ddvPeriodicII.db: could not open file
error scanning c:\Program Files\Dell\DellDataVault\Archive\xxxxxxxx_ddvPeriodicII.db-shm: could not open file
error scanning c:\Program Files\Dell\DellDataVault\Archive\xxxxxxxx_ddvPeriodicII.db-wal: could not open file
error scanning c:\Program Files\Dell\DellDataVault\Archive\xxxxxxxx_ddvSummary.db: could not open file
error scanning c:\Program Files\Dell\DellDataVault\Archive\xxxxxxxx_ddvSummary.db-shm: could not open file
error scanning c:\Program Files\Dell\DellDataVault\Archive\xxxxxxxx_ddvSummary.db-wal: could not open file
error scanning c:\Program Files\Dell\SupportAssistAgent\PCDr\SupportAssist\\resource.db: could not open file

...

Adrian Ścibor ndz., 29-09-2019 - 05:56

Dobrze działa :) to jest tylko info o odmowie dostępu albo nie wspieranym rozszerzeniu pliku.

Dodane przez txkx w odpowiedzi na

Dell Inspiron 5559 wt., 01-10-2019 - 12:23

Jak mi te aplikacje typu DellDataVault, SupportAssistAgent, PC-doctor itp uprzykrzają życie to szok.
Po formacie bez dostępu do wifi same instalują stare sterowniki niekompatybilne z windowsem. Laptop kupiony w 2016 a instaluje świeżutkie upgrejdy z 2010roku. Dell Update wykrywa całkiem inne wersje sterowników na swojej stronie i inne pokazuje mi w SupportAssist. DellRecoveryOS ściąga dedykowaną wersję windowsa wraz ze sterownikami pod konkretny service tag po czym okazuje się po uruchomieniu że sterowniki są złe :D Eset głupieje sam sobie zmienia ustawienia tych support asistów pomimo blokady hasłem.
SecureBoot (F12/F2) niby jest włączony jednak "msinfo" pokazuje że nie, no i ten nieszczęsny Bitlocker ze sterownikiem z roku 1970 co to w ogóle jest :D

Dell jakby żyje swoim życiem a ja jako właściciel i użytkownik mam najmniejszy udział w tym co się dzieje na moim laptopie. I tak jest w kółko od nowości.

Dodane przez txkx w odpowiedzi na

txkx wt., 01-10-2019 - 13:54

Jako właściciel możesz te usługi wyłączyć lub usunąć. Ewentualnie zainstaluj czystą 10 od MS i po problemie o ile tylko taki masz. Według mnie te usługi to bardziej zaleta niż wada, np. w przypadku krytycznych aktualizacji.

Dodane przez Dell Inspiron 5559 w odpowiedzi na

Dodaj komentarz