Ви дізнаєтесь як Китай обходить міжнародні санкції для постачання дронів до Росії.
921 
У цій статті ми розглянемо, як китайські організації кібербезпеки аналізують та атрибутують кібератаки АНБ (APT-C-40), відомі своєю методологією Tailored Access Operations (TAO). Вивчаючи атрибуцію китайських експертів щодо кібероперацій АНБ, ми спробуємо розібратися в методах, які використовуються для злому та шпигунства, зокрема на прикладі атаки на Північно-Західний політехнічний університет Китаю.
Оскільки Австралія є частиною альянсу «П’яти очей», виявлення чотирьох випадків атак китайських організацій APT41 на організації в АСЕАН, зокрема щодо кібер- та політичних стратегій Китаю, викликало інтерес до дослідження того, що Китай публікує про операції цього альянсу. Це дослідження привело до вивчення TTP китайських кіберорганізацій, що приписують АНБ операції, відомі як «APT-C-40».
Висновки базуються на обширних дослідженнях, зокрема звітів розвідки, опублікованих китайськими компаніями, такими як Qihoo 360, Pangu Lab та Національним центром реагування на надзвичайні ситуації з комп’ютерними вірусами (CVERC). Важливо зауважити, що достовірність і масштаб цих звинувачень залишаються неперевіреними незалежними джерелами. Метою дослідження було зібрати та поділитися інформацією, яку китайські джерела публікують про кібероперації АНБ (APT-C-40), щоб вивчити можливі нові методи виявлення чи образливі методи для подальших досліджень.
Під час проведення дослідження стало зрозуміло, що китайська методологія реагування на інциденти значно відрізняється від практик, використовуваних на Заході. Це викликало інтерес до адаптації деяких аспектів китайських методів у власну практику. У майбутньому може бути написано додаткові матеріали, що стосуються китайських звітів про кібероперації ЦРУ (APT-C-39) та третьої північноамериканської групи (APT-C-57), яку китайські організації відстежують окремо від АНБ чи ЦРУ.
Ось як Північно-Західний політехнічний університет Китаю, провідний навчальний заклад, що спеціалізується на аерокосмічній галузі та обороні, нібито став ціллю складної кібератаки, яку приписують групі АНБ APT-C-40 у 2022 році . У звітах стверджується, що атака була здійснена Tailored Access Operations (TAO) , підрозділом АНБ, який нібито розгорнув понад 40 унікальних штамів шкідливого програмного забезпечення для крадіжки даних і шпигунства.
Всю інформацію про це порушення публічно розкривають в Інтернеті китайські кіберкомпанії Qihoo 360 і Національний центр реагування на надзвичайні ситуації з комп’ютерними вірусами на Вейсіні.
Про атаку було публічно оголошено Університетом у публічному інформаційному дописі в червні 2022 року (нижче). Кажучи, що університет отримав серію фішингових електронних листів персоналу та співробітникам.
Завдяки спільному розслідуванню та криміналістиці в Університеті CVERC і 360 ідентифікували 4 IP-адреси, які АНБ нібито придбало через дві компанії-прикриття «Jackson Smith Consultants» і «Mueller Diversified Systems». Чотири ідентифіковані IP-адреси перераховані в кінці цього звіту. CVERC і 360 стверджують, що співробітниця TAO з псевдонімом «Аманда Рамірез» анонімно придбала їх для платформи FoxAcid АНБ, яка пізніше була використана в атаці на університет.
CVERC і 360 також стверджували, що АНБ використовувало служби анонімного захисту реєстратора в США для анонімізації доменних імен і сертифікатів, щоб запобігти їх запитам через публічні канали.
Слідчі з CVERC і 360 змогли відстежити атаку назад до підрозділу TAO АНБ через поєднання людських помилок, шаблонів у їхньому аналізі та збігів інструментів.
Один із фреймворків, який використовує TAO і який було виявлено під час інциденту під назвою «NOPEN», вимагає роботи людини. Таким чином, велика частина атак вимагала практичного використання клавіатури, а аналіз даних хронології інцидентів показав, що 98% усіх атак сталися з 9:00 до 16:00 за східним стандартним часом (робочі години США).
У суботу та неділю не було кібератак, усі атаки були зосереджені в період з пн по пт.
Жодних нападів не було під час святкових днів Дня пам’яті та Дня незалежності, які були унікальними американськими святами.
Під час Різдва нападів не було.
Зловмисник використовував американську англійську мову.
Усі пристрої, якими користувався зловмисник, мали англійську ОС та англомовні програми.
Використана американська клавіатура.
Через тривалість і масштаб інциденту, коли один із передбачуваних «зловмисників» АНБ намагався завантажити та запустити інструмент Pyscript, вони забули змінити параметри. Це повернуло помилку – повідомлення про помилку розкрило робочий каталог і ім’я файлу інтернет-терміналу зловмисника.
Потім це було використано для ідентифікації того, що вони працюють у системі Linux, і відомо, що каталог «etc/autoutils» є спеціальною назвою каталогу інструментів мережевих атак TAO.
Повідомлення про помилку таке: квантифікатор нічого не слідує в регулярному виразі; позначено <– ТУТ у m/* <– ТУТ .log/ у .. /etc/autoutils рядок 4569
Північно -Західний політехнічний університет нібито зазнав численних порушень протягом багатьох років, коли кілька частин шкідливого програмного забезпечення, виявлених у попередніх розслідуваннях (до витоку Shadow Broker), нібито були тими самими інструментами, описаними у витоку Shadow Broker . Більше інформації з цього приводу вони не надали.
Під час судово-медичної експертизи було виявлено 41 різний інструмент і зразок шкідливого програмного забезпечення.
16 із цих інструментів відповідали зброї TAO, викритій у результаті витоку Shadow Brokers.
23 інструменти мали приблизно 97% подібності до інструментів у витоку Shadow Brokers.
2 із цих інструментів не було знайдено в Shadow Brokers, але TAO використовував їх під час інших кібератак (за даними 360).
Однією з основних стратегій АНБ у зламі університету було використання нульових днів. Проте, щоб розпочати атаку, зловмисники спочатку провели етап підготовки до атаки з великою роботою. Два нульових дня були використані для зламу будь-якої компанії з системами, підданими SunOS, у сусідніх із Китаєм країнах. 360 і CVERC не вказали, на які уразливості були націлені у своїх звітах.
Зокрема, АНБ буде націлено на будь-який сервер із великим мережевим трафіком (тобто навчальні заклади та комерційні організації). Як тільки атака була успішною, вони встановлювали NOPEN (докладніше про це пізніше), щоб створити плацдарм. Розгорнувши нульові дні на цих системах, вони встановили доступ до цих систем, які пізніше будуть використані як трампліни для основної атаки на Університет.
Загалом для здійснення атаки було використано 54 сервери переходу та 5 проксі-серверів із 17 різних країн, включаючи Японію, Південну Корею, Швецію, Польщу та Україну, причому 70% атак надходять із сусідніх з Китаєм країн.
Запатентований інструмент, який нібито запускався:
SHAVER: цей інструмент використовувався для атаки на відкритих серверах SunOS, які використовувалися для серверів переходу. Це було визначено як автоматизований інструмент експлуатації, розроблений для архітектур x86 і SPARC з увімкненими службами RPC.
Щоб отримати доступ до мережі, вони використовували MiTM і розсилали фішингові електронні листи. Приблизно в квітні з’явилися фішингові електронні листи з посиланнями на «огляд наукових досліджень», націлені на співробітників університету (студентів і викладачів). Ці фішингові електронні листи містили зловмисне програмне забезпечення, а деякі були розроблені для викрадення облікових даних у цих користувачів.
Окрім цього, 360 і CVERC також повідомили, що однією з використаних платформ була платформа під назвою «FOXACID», яка була частиною витоку інформації про Сноудена . Ця платформа, згідно з Wikileaks, 360 і CVERC, є платформою атаки на вразливості, розробленою NSA для автоматизації доставки експлойтів браузерів (IE, Chrome, FireFox, Safari, Android Webkit тощо) на робочі станції, сервери та мобільні пристрої. Коли користувач намагається отримати доступ до такого веб-сайту, як Gmail, BiliBili (китайський YouTube), замість звичайної відповіді сервера, відповідь викрадається для перенаправлення на контрольований сервер APT-C-40 (NSA), який впроваджує шкідливе програмне забезпечення у веб-переглядач користувача. Нижче наведено діаграму 360, як це працює (я переклав її англійською за допомогою Google).
Питання полягало б у тому, як вони використовували FOXACID, не скомпрометувавши системи? Судячи зі звітів, це логічна послідовність подій:
Зовнішні сервери університету були скомпрометовані, що дозволило APT-C-40 проникнути в середовище за допомогою інструменту під назвою ISLAND (ручна експлуатація систем Solaris)
APT-C-40 встановив фреймворк під назвою SECONDDATE, програмне забезпечення для шпигунства, призначене для встановлення на мережевих пристроях (шлюзах, прикордонних маршрутизаторах і брандмауерах). Інструмент має серверну та контрольну сторону. Сервер працює на межовому пристрої мережі, а трафік відстежується/підробляється через драйвер. Зворотній зв’язок із контролером зашифрований, а порт, що використовується, рандомізований. Друге побачення має можливості мережевого прослуховування, MiTM і впровадження коду. Його можна використовувати з іншими шкідливими програмами для шпигунської діяльності. Він в основному використовується для викрадення великої кількості трафіку даних, фальсифікації та неправильного спрямування.
SECONDDATE перенаправляє трафік від користувачів у мережі університету, які отримують доступ до таких популярних сайтів, як BiliBili, на платформу FOXACID, яка використовує браузер на пристроях студентів/співробітників для отримання контролю.
Використовуючи цю платформу MiTM, вони нібито викрали внутрішні хости та сервери університету перед розгортанням подальших інструментів для дистанційного керування системами. Це дозволило їм отримати доступ до базового мережевого обладнання, серверів і терміналів, пов’язаних з експлуатацією та обслуговуванням мережі університету. Цікаво (і це, здається, закономірність), що APT-C-40 (згідно з 360 і CVERC) мав великий інтерес до мережевих пристроїв, таких як маршрутизатори та комутатори.
Власні інструменти, які нібито запускалися, включають:
ISLAND: цей інструмент нібито запускався на зовнішніх серверах університету, щоб отримати контроль. Це ручний інструмент експлуатації, який використовується для зламу систем на основі Solaris.
FOXACID: структура використання веб-переглядача , яка знімає відбитки браузера та розгортає 0-денний.
SECONDDATE: цей інструмент нібито використовувався TAO (NSA) для злому інтранету офісу університету. Атрибуцію SECONDDATE було виявлено завдяки співпраці з іншими галузевими партнерами. Вони знайшли тисячі мережевих пристроїв, на яких запущено це шпигунське програмне забезпечення, звідки дані поверталися до серверів АНБ, розташованих у Німеччині, Японії, Південній Кореї та Тайвані. Цей інструмент використовувався для перенаправлення трафіку користувачів на платформу FOXACID.
Після забезпечення початкового доступу APT-C-40 зосередився на довгостроковій наполегливості та бічному переміщенні в мережі університету. Щоб уникнути виявлення, вони нібито застосували комбінацію бекдорів і методів крадіжки облікових даних.
SECONDDATE – Backdoor, встановлений на периферійних пристроях мережі, таких як шлюзи та прикордонні маршрутизатори, для фільтрації та викрадення масових обсягів даних у MiTM. Це було розміщено на прикордонних маршрутизаторах університету, щоб перехопити трафік для перенаправлення на платформу FOXACID АНБ.
NOPEN: шкідливе програмне забезпечення з дистанційним керуванням, яке надавало операторам АНБ постійний доступ до скомпрометованих систем. Він дозволяв виконувати файли, керувати процесами, виконувати системні команди та підвищувати привілеї. TAO використовував це, щоб отримати постійний контроль над серверами основного бізнесу та ключовим мережевим обладнанням.
FLAME SPRAY – зловмисне програмне забезпечення з дистанційним керуванням на базі Windows із потужними функціями антианалізу. Можна налаштувати для створення різних типів серверів. Працює з платформою “Acid Fox” для керування хостами мережі особистого офісу. Він має потужні можливості анти-аналізу/анти-налагодження.
CUNNING HERETICS: легкий імплантат, який встановив зашифровані канали зв’язку для АНБ, щоб віддалено повторно активувати точки доступу навіть після спроб очищення.
STOIC SURGEON: прихований бекдор, націлений на системи Linux, Solaris, JunOS і FreeBSD, що дозволяє NSA зберігати контроль, уникаючи перевірок безпеки.
APT-C-40 приділяв особливу увагу орієнтації на крайні мережеві пристрої. З точки зору інфрачервоного зв’язку це цілком логічно (відсутність EDR, відсутність журналів, відсутність видимості та різні ОС роблять масштабне дослідження неймовірно складним і дуже ручним). На цьому етапі атаки вони використовували законні облікові дані для доступу до пристроїв брандмауера та зосередили частину атак на телекомунікаційних операторах університету. Це було підкреслено 360 і CVERC як їх метод зняття відбитків пальців і доступу до особистих даних, пов’язаних з ключовими дослідниками.
Законні облікові дані: NSA нібито використовувало законні облікові дані для брандмауера Cisco PIX, брандмауера Tianrongxin та іншого обладнання, щоб охопити інтрамережу, контролювати дані, контролювати шлюз SMS і операторів зв’язку. Потім вони покладалися на інші інструменти, такі як MAGIC SCHOOL, щоб запитувати конфіденційний персонал, шифрувати інформацію та викрадати її. Результат запиту даних було збережено в: var/tmp/.2e434fd8aeae73e1/erf/out/f/ перед тим, як бути зашифрованим і викраденим.
Викрадення програм оновлення інтрамережі: NSA нібито зламало механізми оновлення програмного забезпечення для розповсюдження зловмисного програмного забезпечення, замаскованого під законні оновлення.
Збір облікових даних за допомогою інструменту DRINKING TEA: цей інструмент винюхував паролі SSH, Telnet і Rlogin, які використовували ІТ-адміністратори університетів, надаючи NSA повний доступ до внутрішніх систем. АНБ нібито використовувало це для захоплення журналів командного рядка, паролів, згенерованих співробітниками університету під час роботи та обслуговування. Ці дані були стиснуті та зашифровані для exfil за допомогою NOPEN. Ці облікові дані надали їм більше доступу до периферійних пристроїв і пристроїв для бізнесу.
Викрадення прикордонних маршрутизаторів: NSA встановило шпигунське програмне забезпечення Second Date на університетських маршрутизаторах, що дозволяє їм перехоплювати, маніпулювати та перенаправляти мережевий трафік.
Потрапивши всередину, співробітники АНБ нібито систематично викрадали секретні дані досліджень, деталі мережевої інфраструктури та конфіденційні оперативні документи.
Використані методи ексфільтрації:
OPERATION BEHIND ENEMY LINES: набір інструментів, які використовуються для запиту, упаковки та шифрування викрадених даних перед передачею на сервери, контрольовані АНБ.
Школа магії, їжа клоунів і проклятий вогонь: ці інструменти NSA були спеціально розроблені для вилучення конфіденційних файлів із телекомунікаційних і оборонних дослідницьких систем.
Використання проксі-серверів і VPN: щоб уникнути виявлення, викрадені дані були направлені через 54 перехідні сервери та проксі-вузли в 17 країнах, маскуючи справжнє походження зловмисників.
Щоб мінімізувати ризики виявлення та судового розслідування, АНБ застосувало кілька антикриміналістичних методів (але більшість із них вбудовані в інструменти та фреймворки, які вони використовували):
TOAST BREAD: інструмент маніпулювання журналами, який стирає докази неавторизованого доступу, включаючи файли UTMP, WTMP і LASTLOG.
Зашифровані комунікації: усі інструменти NSA використовували шифрування, гарантуючи, що трафік до їхніх командно-контрольних (C2) серверів залишався непомітним.
Між китайськими організаціями з кібербезпеки існує чітка і структурована співпраця під час розгляду справ. На відміну від західної практики, де галузеве співробітництво здійснюється через закриті групи за запрошенням, китайські організації відкрито визнають та публікують своє партнерство. Така відкритість може бути зумовлена культурними факторами, зокрема конфуціанським акцентом на колективних знаннях, а також політичними рамками, які заохочують спільну діяльність. Крім того, ця співпраця виходить за межі однієї країни, залучаючи організації з кібербезпеки з різних держав.
У процесі реагування на інциденти західні методики зазвичай зосереджуються на побудові хронології атак, детальному відображенні подій за часом. Це включає створення графіків, документування індикаторів компромісу (IoCs) і передачу звітів розвідувальним групам, часто супроводжуваних усними дебрифінгами. Проте широкомасштабний аналіз даних з використанням штучного інтелекту не є звичною практикою. Ключовим аспектом китайських розслідувань стало активне використання аналізу великих даних, зокрема для моніторингу активності “практичної клавіатури”. Це дозволило Qihoo 360 виявити такі закономірності, як відсутність активності в День пам’яті, і точно задокументувати години роботи зловмисників, що дозволило ізолювати активність в робочі години з понеділка по п’ятницю за EST.
Атаки на периферійні пристрої, Інтернет речей і мережеві пристрої стають нормою. З точки зору загроз, це логічно, оскільки більшість зловмисників усвідомлюють, що рішення XDR/EDR застосовуються на традиційних кінцевих точках, роблячи периферійні пристрої привабливою ціллю для початкового доступу та підтримки стійкості. Захист і виявлення таких загроз є складним через різноманітність операційних систем, власних методів кодування і необхідність детального криміналістичного аналізу. Зосередження на периферійних пристроях стає не тільки трендом для АНБ, але й загальною тенденцією, що, ймовірно, буде посилюватися. Спостерігається, як китайські APT і російські актори застосовують схожі методи, включаючи маніпуляції з прошивкою. Буде цікаво спостерігати за розвитком цієї сфери.
Нарешті, у звітах згадувалося, що більшість фреймворків атак діяли в пам’яті, без записів файлів на диск. Це не є новим явищем, однак завжди цікаво спостерігати за методами розслідування та судово-медичних досліджень.
921 
451 
162