Експерти твърдят, че кадри на китайското разузнаване стоят зад пробиви в чужди мрежи, продължили повече от десетилетие. Използван е комплексен зловреден софтуер, за да проникнат китайците в компании за софтуер и игри в САЩ, Европа, Русия и др.
Хакерите са нанесли един от последните си удари в кампания, използвала "фишинг" имейли в опит да се добере до корпоративни Office 365 и Gmail акаунти. Междувременно те са допускали сериозни грешки в оперативната сигурност, които са разкрили ключова информация за целите им и потенциалното им местонахождение.
Изследователи от различни организации за сигурност са използвали разнородни имена, за да обявят извършителите на хакванията, включително LEAD, BARIUM, Wicked Panda, GREF, PassCV, Axiom, и Winnti. В много случаи изследователите приемат, че групите са били отделни и несвързани.
Според доклад от 49 страници всички атаки са дело на представители на китайското национално разузнаване, които авторите на доклада наричат Winnti Umbrella.
Експерти от 401TRG, екип за анализ и проучване на заплахи във фирмата за сигурност ProtectWise, е определил авторството на атаките на обща мрежова инфраструктура, използваните тактики, техники и процедури, използвани при атаките, както и грешки в оперативната сигурност, които са разкрили потенциалното местоположение на отделните членове на организацията.
Десетилетие на хаквания
Атаките, свързани с Winnti Umbrella, са се случвали поне от 2009 г. насам като вероятно датират още от 2007-а. През 2013 г. компанията за антивирусен софтуер Kaspersky Lab е съобщила, че хакери с компютри с китайски и корейски езикови конфигурации са използвали пробив в сигурността, наречен Winnti, за да заразят повече от 30 компании за онлайн видеоигри през предишните четири години.
Атакуващите са използвали неоторизирания си достъп, за да се сдобият с цифрови сертификати, които впоследствие са използвали за подписване на зловреден софтуер, използван в кампании срещу други браншове и политически активисти.
Също така през 2013 г. Symantec са съобщили за хакерска група, наречена Hidden Linx, която е стояла зад атаките срещу повече от 100 организации. В това число влиза и нашумял пробив през 2012-а, при който е бил откраднат ключ за криптиране от Bit9. Той е използван за заразяване на поне трима от клиентите на компанията за сигурност.
В следващите години организациите за сигурност Novetta, Cylance, Trend Micro, Citizen Lab и ProtectWise са съобщавали за различни кампании на Winnti Umbrella. Една от кампаниите е включвала нашумели пробиви в мрежи, засегнали Google и 34 други фирми през 2010 г.
"Целта на този доклад е да огласи публично преди неогласени връзки, съществуващи между многобройни китайски национални разузнавателни операции", пишат авторите на доклада на ProtectWise. "Всички тези операции и групите, които ги реализират, са свързани с Winnti Umbrella и действат под егидата на китайските национални разузнавателни структури."
Изследователите допълват:
"В този доклад се съдържат сведения за досега неизвестни атаки срещу организации и връзката на тези атаки с китайските разузнавателни структури през последното десетилетие. На база нашите анализи, атаките срещу по-малки организации са с цел да се намерят и извлекат сертификати за подписване на код, с които да бъде подписан зловреден софтуер за атаки срещу мишени с по-голяма значимост.
Основната ни телеметрична информация се състои от месеци и години изцяло уловен трафик. Този набор от данни ни позволи да разследваме активни пробиви в многобройни организации и да извършим съпоставки с историческите архиви от данни, с което успяхме да направим анализ на външна инфраструктура в големи мащаби".
Групите често използват фишинг, за да проникнат в мрежата на жертвата. В по-ранните атаки свързаните групи после са използвали първоначалния пробив, за да добавят леснодостъпна "задна вратичка" за допълнителни пробиви.
Напоследък групите са приели т.нар. техники на заразяване "living-off-the-land", които разчитат на одобрени от фирмите собствени системи за достъп или инструменти за системно администриране, за да разпространяват и поддържат неоторизирания си достъп.
Домейните, използвани за доставяне на зловреден софтуер и контрол над заразените системи, често също са се препокривали. Атакуващите обикновено са разчитали на TLS криптиране, за да скрият доставката на зловреден софтуер и трафика за контрол на системите.
Фишинг на дребни риби, за да улавят китове
Групата е хаквала по-малки организации в гейминг и технологичния бранш и после е използвала техните сертификати за подписване на код и други активи за компрометиране на основните им цели, които са били предимно политически.
Основните мишени на предишните кампании са включвали тибетски и китайски журналисти, уйгурски и тибетски активисти, правителството на Тайланд и видни технологични организации.
Миналия август Kaspersky Lab са съобщили, че инструменти за управление на мрежи, продавани от южнокорейския софтуерен разработчик NetSarang, са съдържали скрита задна вратичка, която е осигурила на атакуващите пълен контрол над сървърите на клиентите на NetSarang.
Задната вратичка, която Kaspersky Lab са нарекли ShadowPad, е била сходна с Winnti и друг зловреден софтуер, също свързан с Winnti, наречен PlugX.
Kaspersky казват, че са открили ShadowPad чрез информация от партньор във финансовия бранш, който е наблюдавал компютър, използван за транзакции, да прави подозрителни заявки към дадени домейни. По това време инструментите на NetSarang са били използвани от стотици банки, енергийни и фармацевтични компании.
Грешки в оперативната сигурност
ProtectWise обявиха, че от началото на годината членовете на Winnti са извършвали фишинг атаки, за да подведат ИТ служители в различни организации да разкрият данните си за достъп до акаунти в облачни услуги като Office 365 и G Suite.
Една кампания, която е започнала на 20 март и продължила осем дни, е използвала услугата за съкращаване на линкове goo.gl на Google, което е позволило на ProtectWise да използва услугата на Google за анализи, за да се добере до ключови данни.
Goo.gl показва, че скъсеният линк е бил създаден на 23 февруари, около три седмици преди стартирането на кампанията. Той също така показва, че зловредният фишинг линк е бил кликван общо 56 пъти: 29 пъти в Япония, 15 пъти в САЩ, 2 пъти в Индия, и веднъж в Русия. Потребители с браузър Chrome са кликнали 33 пъти, срещу 23 кликвания от Safari. 30 от кликовете са били от Windows компютри, и 26 от macOS.
Атакуващите, които са получили достъп до облачните услуги на жертвите, са търсили вътрешна мрежова документация и инструменти за отдалечен достъп до корпоративни мрежи. Ако са имали успех, обикновено те са използвали автоматизирани процеси за сканиране на вътрешни мрежи за отворени портове 80, 139, 445, 6379, 8080, 20022 и 30304.
Тези портове показват интерес към уеб сървъри, функции за съхранение на файлове, и клиенти, които използват криптовалутата Ethereum.
В повечето случаи атакуващите са използвали сървърите си за контрол, за да скрият реалните си IP адреси. В няколко случая обаче те по погрешка са се свързвали със заразените системи без тези проксита.
Във всички тези случаи IP адресите са принадлежали към блока от адреси 221.216.0.0/13, принадлежащ на пекинската мрежа на China Unicom в района Сичен.
"Атакуващите са развивали уменията си и са се научили да избягват разкриването, когато е възможно, но са имали лоша оперативна сигурност, когато става дума за повторна употреба на някои инструменти", обобщава докладът. "Употребата на off-the-land методи и адаптирането към индивидуалните мрежи на жертвите им е позволила да действат с голям успех.
На моменти те са допускали небрежности, но Winnti Umbrella и свързаните с тях организации остават комплексна и ефективна заплаха".