Τετάρτη, 21 Ιουνίου 2017

GRU: Λογισμικό CozyDuke

Έχουμε αναφέρει πολλές επιθέσεις και συστήματα από υπηρεσίες πληροφοριών των ΗΠΑ και της Μεγάλης Βρετανίας, αλλά όχι ακόμα για τη Ρωσία. Με αυτό το άρθρο ξεκινάμε τις αντίστοιχες αναλύσεις με ένα λογισμικό που έδωσε στη, κατά ισχυρισμό, ρωσική υπηρεσία πληροφοριών (GRU), πρόσβαση σε δίκτυα πολλών κυβερνήσεων. Είναι μία πολύ ενδιαφέρουσα περίπτωση που αξίζει να μελετήσει κανείς.
Πηγή: F-Secure.com

Η υπόθεση CozyDuke έγινε γνωστή το Μάρτιο του 2014 όταν ερευνητές ασφαλείας της ιδιωτικής εταιρίας Kaspersky Lab παρατήρησαν κάποια κοινά χαρακτηριστικά σε επιτυχημένες επιθέσεις κυβερνητικών υπηρεσίων στις ΗΠΑ, Γερμανία, Νότια Κορέα, και Ουζμπεκιστάν. Μάλιστα, κάποιες από τις επιθέσεις έδωσαν στους επιτιθέμενους πρόσβαση στο εσωτερικό δίκτυο του Λευκού Οίκου και στη Υπουργείο Εξωτερικών των ΗΠΑ.
Πηγή: SecureList.com

Ανεξάρτητη έρευνα της ιδιωτικής εταιρίας ασφαλείας F-Secure ανέδειξε ότι το λογισμικό CozyDuke που χρησιμοποιήθηκε σε αυτές τις επιθέσεις υπήρχε σε κάποια συστήματα εγκατεστημένο από τον Ιανουάριο του 2010. Αυτό μας δίνει μία ιδέα του εύρους των μολυσμένων συστημάτων που πάντα ήταν σε ξένες (μη ρωσικές) κρατικές υπηρεσίες. Ας δούμε όμως ολόκληρη την επίθεση σε λίγο μεγαλύτερο βάθος.
Πηγή: ThreatPost.com

Το πρώτο στάδιο της επίθεσης ήταν η αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου στους στόχους προσποιούμενοι ότι είναι κάποιος που ήδη γνώριζαν και ζητώντας τους να επισκεφθούν κάποια σελίδα για να κατεβάσουν και να δουν ένα αστείο βίντεο. Η τεχνική αυτή στο χώρο της ασφάλειας ονομάζεται spear-phising. Μάλιστα, λόγω του ότι το μεγαλύτερο μέρος της αμερικανικής κυβέρνησης μολύνθηκε από ένα αστείο βίντεο που είχε τίτλο «Office Monkeys LOL Video.zip» πολλοί γνωρίζουν αυτή την υπόθεση ως «Μαϊμούδες Γραφείου». Παρακάτω βλέπετε ένα στιγμιότυπο από το συγκεκριμένο βίντεο.
Πηγή: SecureList.com

Η δεύτερη τακτική ήταν να ζητάνε από τους παραλήπτες των email να επισκεφθούν μία γνωστή σελίδα την οποία όμως είχαν παραβιάσει προηγουμένως ώστε να τους στέλνει το ίδιο κακόβουλο λογισμικό. Πολλές φορές αντί του βίντεο με τις μαϊμούδες το έγγραφο-δόλωμα ήταν κάποιο αρχείο PDF ή κάτι αντίστοιχο. Βλέπετε ενδεικτικά το τρόπο λειτουργίας του πρώτου σταδίου του CozyDuke εδώ.
Πηγή: F-Secure.com (επεξεργασμένη)

Αμέσως μετά την εκτέλεση του, το CozyDuke χρησιμοποιεί δύο εντολές του υποσυστήματος WMI για να εντοπίσει αν υπάρχει κάποιο λογισμικό προστασίας από ιούς εγκατεστημένο. Το CozyDuke είχε άγνωστες μέχρι τότε τεχνικές για να μπορεί να αποφύγει τον εντοπισμό από τα λογισμικά προστασίας από ιούς Crystal, Kaspersky, Sophos, DrWeb, Avira, και Comodo Dragon. Στη συνέχεια κατεβάζει μία σειρά από επιπρόσθετα προγράμματα για το CozyDuke που τα δηλώνει στο λειτουργικό σύστημα ως πιστοποιημένα από την εταιρία AMD. Ωστόσο, προσεκτική παρατήρηση των πιστοποιητικών δείχνει ότι δεν είναι έγκυρα πιστοποιητικά της εταιρίας AMD. Μπορείτε να το δείτε και μόνοι σας από τις παρακάτω εικόνες.
Πηγή: SecureList.com

Στη συνέχεια, το CozyDuke κατεβάζει το αρχείο ρυθμίσεων του που το αποθηκεύει με όνομα αρχείου «racss.dat» και τα περιεχόμενα του είναι κρυπτογραφημένα με τον αλγόριθμο κρυπτογράφησης RC4. Οι ερευνητές της εταιρίας Kaspersky, και λίγο αργότερα της F-Secure, κατάφεραν να σπάσουν αυτή τη κρυπτογράφηση αποκαλύπτοντας τι ακριβώς ρυθμίσεις περιέχονται σε αυτό το αρχείο. Βλέπετε το αρχείο αυτό εδώ.
Πηγή: F-Secure.com

Βλέπουμε διάφορες ρυθμίσεις που δεν κάνουν ιδιαίτερη εντύπωση αλλά υπάρχει και κάτι νέο. Τα περισσότερα κακόβουλα λογισμικά παρακολουθήσεων έχουν αυτό που ονομάζεται C&C (Command & Control, Διοίκηση & Έλεγχος), δηλαδή κάποιο σύστημα με το οποίο επικοινωνούν για να δέχονται τις εντολές που πρέπει να εκτελέσουν και το που θα στείλουν τα δεδομένα που υποκλέπτουν. Συνήθως αυτό είναι κάποια φαινομενικά αθώα ιστοσελίδα αλλά το CozyDuke έχει και εφεδρικό σύστημα. Συγκεκριμένα βλέπουμε ότι έχει το λογαριασμό US2515 του μέσου κοινωνικής δικτύωσης Twitter. Έτσι, στους διαχειριστές του δικτύου και στις ομάδες ασφαλείας μπορεί να φαίνεται ότι το μολυσμένο σύστημα επισκέπτεται απλώς το Twitter όταν στη πράξη παίρνει εντολές αποκρυπτογραφώντας τα μηνύματα από αυτό το λογαριασμό. Μάλιστα, βλέπουμε ότι οι δημιουργοί του CozyDuke είχαν και καλή αίσθηση του χιούμορ τόσο στο όνομα του λογαριασμού, όσο και στην εικόνα προφίλ που δημιούργησαν. Βλέπετε το λογαριασμό αυτό στη συνέχεια.
Πηγή: Twitter.com

Αξίζει επίσης να αναφέρουμε ότι η ιδιωτική εταιρία ασφαλείας F-Secure αργότερα ανακάλυψε και ένα δεύτερο λογαριασμό Twitter που χρησιμοποιούνταν ως εφεδρικό C&C από το λογισμικό CozyDuke. Ήταν ο λογαριασμός monkey_drive που μάλιστα εάν τον επισκεφθεί κανείς θα δει ότι έχει δύο εντολές δοκιμών από το Φεβρουάριο του 2015.

defensegr