W lutym 2016 r. analitycy z Kaspersky Lab rozpoczęli dochodzenie po alarmie u jednego z partnerów. Szybko okazało się, że osoby stojące za zagrożeniem, działające prawdopodobnie z Indii, prowadziły agresywne działania cyberszpiegowskie w regionie Azji, atakując różne podmioty dyplomatyczne i rządowe, koncentrując się w szczególności na Chinach i sprawach międzynarodowych tego państwa. Mając w swym arsenale jedynie szkodliwe programy wykorzystujące stare luki w zabezpieczeniach oraz niczym niewyróżniające się narzędzia, cyberprzestępcy próbowali również szczęścia, atakując duże cele, także w krajach zachodnich.
Sposób działania ugrupowania „Dropping Elephant” (znanego również pod nazwą „Chinastrats”) trudno uznać za wyrafinowany. W dużym stopniu wykorzystuje ono socjotechnikę i proste narzędzia do tworzenia szkodliwego oprogramowania. Jednak takie podejście okazuje się całkiem skuteczne, a tym samym stosujące je ugrupowanie – niebezpieczne. Od listopada 2015 r. do czerwca 2016 r. cyberprzestępcy sprofilowali setki tysięcy celów na całym świecie. Ponadto w ciągu pierwszych kilku miesięcy swojego działania atakujący zdołali ukraść dokumenty od co najmniej kilkudziesięciu ofiar.
Narzędzia: proste, ale skuteczne
- W ramach początkowego profilowania celów ugrupowanie Dropping Elephant przeprowadza masowe wysyłki na wiele adresów e-mail. Ukierunkowane wiadomości e-mail wysłane przez atakujących zawierają odniesienie do zdalnej treści – nie jest ona osadzona w samej wiadomości e-mail, ale pobierana z zewnętrznego źródła. Wiadomość e-mail nie posiada żadnej szkodliwej funkcji, z wyjątkiem powiadomienia, które jest wysyłane na serwer osób atakujących, jeśli cel ataku otworzy wiadomość. Spowoduje to automatyczne wysłanie wiadomości zawierającej podstawowe informacje na temat odbiorcy: adres IP, rodzaj przeglądarki, jak również typ wykorzystywanego urządzenia i jego lokalizacja.
- Po zastosowaniu tej prostej metody w celu przefiltrowania najcenniejszych celów atakujący wysyłają kolejny, bardziej precyzyjny e-mail. Jest to dokument programu Word zawierający szkodliwy program wykorzystujący lukę CVE-2012-0158 lub prezentacja PowerPoint zawierająca kod wykorzystujący lukę CVE-2014-6352 w pakiecie Microsoft Office. Obie luki są od dawna publicznie znane, ale w dalszym ciągu są wykorzystywane przez cyberprzestępców.
- Niektóre ofiary są atakowane przy użyciu ataku innego schematu: otrzymują odsyłacz do strony internetowej będącej rzekomo portalem z wiadomościami politycznymi, poświęconymi sprawom zagranicznym Chin. Większość odsyłaczy na tej stronie internetowej prowadzi do dodatkowej zawartości w formie prezentacji PowerPoint zawierającej szkodliwą funkcję.
- Chociaż wykorzystane w atakach luki w zabezpieczeniach zostały załatane przez firmę Microsoft, cyberprzestępcy nadal mogą wykorzystywać socjotechnikę do atakowania swoich celów, jeśli ich ofiary zignorują liczne ostrzeżenia dot. bezpieczeństwa i zgodzą się włączyć niebezpieczne funkcje dokumentu. Zawartość szkodliwego pliku PPS opiera się na starannie wybranych, rzeczywistych artykułach prasowych przedstawiających popularne tematy geopolityczne, przez co dokument budzi większe zaufanie i istnieje większe prawdopodobieństwo jego otwarcia. To może prowadzić do infekcji urządzeń wielu użytkowników.
- Po skutecznym wykorzystaniu luki na maszynie ofiary instalowanych jest szereg różnych szkodliwych narzędzi.
- Następnie narzędzia te gromadzą i wysyłają cyberprzestępcom określone rodzaje danych: dokumenty (Word), arkusze (Excel), prezentacje (PowerPoint), pliki PDF, dane uwierzytelniające logowanie zapisane w przeglądarce itd.
Preferencje geograficzne
Na podstawie profilu celów stworzonego przez badaczy z Kaspersky Lab można stwierdzić, że ugrupowanie Dropping Elephant koncentruje się na dwóch głównych rodzajach organizacji i osób fizycznych: chińskich podmiotach rządowych i dyplomatycznych oraz związanych z nimi osobach fizycznych, jak również partnerach tych organizacji w innych państwach.
Łącznie eksperci z Kaspersky Lab zidentyfikowali kilkaset celów na całym świecie, z których większość jest zlokalizowana w Chinach, podczas gdy inne pochodziły z lub miały związek z Pakistanem, Sri Lanką, Urugwajem, Bangladeszem, Tajwanem, Australią, Stanami Zjednoczonymi oraz kilkoma innymi państwami.
Ślady w kodzie szkodliwych programów
Pewne fakty wskazują na to, że opisywane ugrupowanie działało z Indii. Jednocześnie nie istnieje niezbity dowód wskazujący, że w operację mógł być zamieszany rząd jakiegoś państwa.
Z analizy aktywności wynika, że atakujący działali prawdopodobnie w strefie czasowej UTC+5 lub UTC+6. Co ciekawe, od maja 2016 r. badacze z Kaspersky Lab zauważyli nowy schemat aktywności tej grupy w obrębie nowego obszaru geograficznego, który obejmuje strefę czasu pacyficznego odpowiadającą, między innymi, godzinom pracy na zachodnim wybrzeżu Stanów Zjednoczonych. Przyczyną jest prawdopodobnie zwiększona liczebność załogi Dropping Elephant.
„Mimo wykorzystywania tak prostych i niedrogich narzędzi cybergang był w stanie zdobyć cenne informacje, co może być przyczyną zwiększenia się liczebności grupy w maju 2016 r. Rozrost ten sugeruje również, że atakujący nie zamierzają zakończyć swoich operacji w najbliższej przyszłości. Szczególną ostrożność powinny zachować organizacje i osoby fizyczne, które pasują do profilu tego ugrupowania. Dobra wiadomość jest taka, że nie zauważono jeszcze, aby cybergang wykorzystywał wyrafinowane, trudne do wykrycia narzędzia. To oznacza, że jego aktywność jest stosunkowo łatwa do zidentyfikowania. Naturalnie sytuacja ta może się zmienić w każdej chwili” – powiedział Witalij Kamliuk, szef centrum badań w regionie Azji i Pacyfiku, Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab.
Eksperci z Kaspersky Lab są otwarci na współpracę z zespołami CERT oraz organami ścigania państw dotkniętych aktywnością omawianego ugrupowania celem powiadamiania właścicieli i łagodzenia zagrożenia.
Dla wszystkich, którzy chcą zabezpieczyć siebie i swoją organizację przed ugrupowaniami cyberszpiegowskimi takimi jak Dropping Elephant, eksperci bezpieczeństwa z Kaspersky Lab zalecają podjęcie następujących działań:
- Należy postępować zgodnie z podstawowymi zasadami bezpieczeństwa internetowego: nie otwierać załączników do wiadomości e-mail otrzymanych od nieznanych nadawców i regularnie aktualizować oprogramowanie na wszystkich komputerach.
- Należy wykorzystywać sprawdzone rozwiązanie bezpieczeństwa potrafiące zwalczać najbardziej wyrafinowane cyberzagrożenia.
- Należy mieć świadomość, że to, co wydaje się legalnym dokumentem, może stanowić pierwszy etap ataku ukierunkowanego na firmę. W dużych organizacjach należy stosować sprawdzone rozwiązania chroniące przed atakami ukierunkowanymi, które potrafią wykryć niebezpieczne anomalie w sieciach korporacyjnych, zanim zostanie zainstalowane szkodliwe oprogramowanie, które skradnie dane lub wykona inne niebezpieczne działania.
- Najlepszym sposobem, aby ochrona była zawsze aktualna, jest śledzenie ewolucji ugrupowań stosujących ataki ukierunkowane. Należy wykorzystywać usługi analizy zagrożeń, aby wiedzieć, jakie nowe techniki stosują atakujący i jakie środki bezpieczeństwa mogą sprawić, że metody te będą nieskuteczne.
Rozwiązania firmy Kaspersky Lab wykrywają i neutralizują szkodliwe oprogramowanie Dropping Elephant jako:
- Win32.CVE-2012-0158,
- MSWord.CVE-2014-1761,
- Trojan-Downloader.Win32.Genome,
- HEUR:Trojan.Win32.Generic,
- Win32.Agent.ijfx,
- Trojan-Ransom.Win32.PolyRansom.bel,
- Win32.Autoit.fdp.
Źródło: Kaspersky Lab