Хакеры использовали Tor и плагин с функцией domain fronting для маскировки трафика под легитимный.
По данным экспертов Mandiant, хакерская группировка APT 29, также известная как Cozy Bear, в течение двух лет использовала технику domain fronting («фронтирование домена») с целью обезопасить свой доступ к системам жертв. Злоумышленники использовали браузер Tor и специальный плагин с функцией domain fronting для маскировки трафика под легитимный, якобы направленный к известным сайтам, таким как Google.
Domain fronting представляет собой технику для сокрытия настоящей конечной точки подключения. С ее помощью можно подключиться к желаемому домену, однако со стороны будет казаться, будто подключение осуществлено к совсем другому домену (в случае с APT 29 к Google). Техника была впервые описана учеными Калифорнийского университета в Беркли в 2015 году, однако APT 29 начали использовать ее несколько раньше.
Tor использует транспортный протокол meek, позволяющий обходить цензуру и подключаться к заблокированным сайтам. Идея заключается в том, чтобы в качестве прокси использовать сеть доставки содержимого (CDN), например, Google, Akamai или Cloudflare. В таком случае для блокировки доступа к сайту цензорам придется заблокировать всю сеть.
Как пояснил ИБ-эксперт Mandiant Мэттью Данвуди (Matthew Dunwoody), APT 29 настроили скрытый сервис в сети Tor для обеспечения себе доступа к системам жертв. С помощью зашифрованного туннеля трафик перенаправлялся от клиента на локальные порты 139 – NetBIOS, 445 – Server Message Block и 3389 – Terminal Services. «Таким образом злоумышленники обеспечивали себе удаленный полный доступ к атакуемой системе за пределами локальной сети с помощью скрытого адреса в Tor (.onion)», – пояснил Данвуди.
Деятельность злоумышленников оставалась незамеченной, поскольку со стороны все выглядело так, будто они подключались к Google по TLS. Обычные HTTPS POST-запросы отправлялись на google.com, однако на самом деле через сервер meek-reflect.appspot.com трафик шел в сеть Tor. В настоящее время сервер отключен, однако, по словам исследователей, другие серверы облачной инфраструктуры Google и поддерживаемой CDN могут выполнять ту же функцию.
Генеральный директор REG.RU Алексей Королюк:
В данной атаке нет ничего необычного, так как суть хакерства и состоит в том, чтобы использовать по возможности стандартные средства для нестандартных целей.
Domain fronting является механизмом для сокрытия настоящей конечной точки подключения. Для доменных имен, цензоры, как правило, не в состоянии отличить обманный трафик от легитимного. В связи с этим, они вынуждены либо разрешить весь трафик к доменному имени, либо блокировать доменное имя полностью, что может привести к большому ущербу.
Действительно, впервые данную технику подробно описали ученые из Калифорнийского университета в Беркли в 2015 году, но хакеры из APT 29 начали применять её раньше. Стоит отметить, что хакеры воспользовались программным обеспечением, которое уже было написано и были первыми, кто догадался применить этот механизм для повышения анонимности и маскировки трафика.
Система Tor использует транспортный протокол meek, который позволяет обходить всю цензуру и подключаться к заблокированным сайтам. Смысл этой идеи в том, чтобы в качестве прокси использовать технологию CDN. Сети доставки содержимого есть у таких IT гигантов, как Google, Akamai или Cloudflare.
Антон Бочкарев, консультант по информационной безопасности Центра информационной безопасности компании "Инфосистемы Джет"
Одна из ключевых проблем злоумышленников при использовании анонимной сети TOR заключается в том, что существуют техники анализа исходящего трафика с выходных TOR-нод, ставящие анонимность пользователей под угрозу, а также то, что многие средства защиты уделяют повышенное внимание TOR-трафику. Поэтому злоумышленники для маскировки TOR-трафика используют различные техники, в том числе и "фронтирование домена". Эта техника впервые начала применяться для обхода блокировки сайтов интернет-цензурой. Стоит отметить, что этот подход не основан на каких-либо уязвимостях или недекларируемых возможностях, а применяет лишь базовый функционал CDN-серверов, обслуживающих жертву. CDN используется для более быстрой доставки контента пользователям и представляет собой кэширующие прокси-сервера, которые и облюбовали теперь злоумышленники, как промежуточные. CDN используются и многими Anti-DDOS решениями, например CloudFlare. Стоит отметить креативность мышления мошенников, которые догадались применять этот механизм для повышения собственной анонимности. Долгое время исследователи ИБ были на шаг позади хакеров, не догадываясь о такой возможности.
Собираем и анализируем опыт профессионалов ИБ