Команда исследователей обнаружила активную операцию по кибершпионажу, мишенью которой стало правительство Афганистана. Предположительно, за данную операцию ответственна группа китайских хакеров. Злоумышленники представлялись сотрудниками администрации президента Афганистана, чтобы проникнуть в системы Совета национальной безопасности (СНБ), а также использовали Dropbox для прикрытия своей деятельности. Эксперты Check Point Research считают, что эта атака стала последней в рамках длительной операции, которая началась еще в 2014 году. Тогда жертвами кибершпионажа также стали Киргизия, Узбекистан и другие страны.
Команда зафиксировала активную операцию по кибершпионажу, мишенью которой стало правительство Афганистана. Шпионаж предположительно осуществляла группа китайских хакеров IndigoZebra. Чтобы проникнуть в системы Совета национальной безопасности (СНБ) Афганистана, они использовали популярное облачное хранилище Dropbox. В рамках дальнейшего расследования эксперты CPR выяснили, что это последняя атака в рамках длительной кампании, которая проводилась, по меньшей мере, с 2014 года и была нацелена и на другие страны Центральной Азии — Киргизию и Узбекистан.
Расследование Check Point Research началось в апреле, когда чиновник Совета национальной безопасности Афганистана получил электронное письмо, якобы отправленное из администрации президента. Письмо содержало просьбу срочно проверить изменения в документе, связанном с предстоящей пресс-конференцией СНБ.
Команда Check Point Research кратко представила методику кибершпионажа в виде следующего алгоритма:
1. Отправка электронного письма от имени авторитетной организации. Злоумышленники использовали тактику обмана на уровне двух министерств — электронное письмо поступало в организацию с высоким статусом с почтовых адресов отправителя того же уровня, который также стал жертвой киберпреступников.
2. Вложение вредоносного элемента. Хакеры прикрепили к письму архивный файл с вредоносным ПО под видом безопасного вложения. В данном случае письмо содержало защищенный паролем архив RAR с именем NSC Press conference.rar.
3. Открытие первого документа. Извлеченный из архива файл NSC Press conference.exe выполняет роль дроппера. Из письма следует, что вложенный файл является документом, поэтому жертва запускает исполняемый файл без лишних сомнений. Хакеры используют простую уловку: после запуска дроппера пользователем он открывает первый документ на рабочем столе жертвы. Даже если такой документ для открытия не был найден, дроппер переходит к следующему шагу — загрузке бэкдора.
4. Использование Dropbox в качестве центра командования и управления (C&C). Бэкдор подключается к предварительно настроенной папке в Dropbox, которая создается отдельно для каждой жертвы. С адреса папки бэкдор получает дальнейшие команды и сохраняет по нему украденную информацию.
Киберпреступники используют API Dropbox для маскировки своих вредоносных действий — при этом обмен данными с подозрительными сайтами не осуществляется. Настроенный злоумышленниками бэкдор создает уникальную папку жертвы в учетной записи Dropbox, контролируемой хакерами. Когда им необходимо отправить файл или команду на скомпрометированный компьютер, они помещают их в подпапку «d» папки Dropbox жертвы. Вредоносное ПО обращается к этой папке и скачивает ее содержимое в рабочую папку. Чтобы обеспечить сохраняемость, бэкдор настраивает ключ системного реестра так, чтобы запускаться при каждом входе пользователя в систему.
В рамках данной атаки специалисты Check Point Research зарегистрировали следующие действия:
Скачивание и запуск инструмента сканирования, который используется для таргетированных кибератак (APT) многими хакерами, включая активную и успешную группу китайских хакеров APT10.
Запуск встроенных сетевых утилит Windows.
Доступ к файлам жертвы, в частности — к документам на рабочем столе.
«Выявление фактов кибершпионажа — по-прежнему приоритетная задача для нас. На этот раз мы обнаружили действующую целенаправленную кампанию, мишенью которой стало правительство Афганистана, — комментирует Лотем Финкельстин (Lotem Finkelsteen), ведущий эксперт по анализу киберугроз Check Point Software Technologies. — У нас есть основания полагать, что Узбекистан и Киргизия также стали жертвами этих атак. Собранные нами сведения указывают на хакеров из Китая. В данном случае злоумышленники использовали интересную тактику обмана одного министерства от имени другого. Такая тактика является очень агрессивной и действенной: любой сотрудник поспешит выполнить всё, что от него просят. В нашем примере киберпреступникам удалось выполнить ряд действий среди чиновников высшего уровня. Кроме того, важно отметить, что хакеры использовали Dropbox, чтобы избежать обнаружения. Нам всем стоит иметь в виду этот метод и принимать профилактические меры. Возможно, эта группа хакеров также атаковала другие страны, хотя мы пока не знаем, сколько и какие именно. По этой причине сегодня мы предоставляем список доменов, которые могли быть задействованы в атаке. Надеемся, что их имена помогут специалистам по кибербезопасности в дальнейших исследованиях, которые дополняют и развивают полученную нами информацию».
Никаких овечек — только отборные научные факты