Хакерские группировки, связанные с группой специалистов по атакам на цепочки поставок «Winnti», используют одни и те же руткиты и бэкдоры под Linux.
Стек бэкдоров под Linux, используемых для шпионажа, динамически компилируемых и кастомизируемых под конкретные цели, по мнению исследователей, используется в качестве общего ресурса пятью различными китайскими хакерскими группами.
Согласно анализу компании BlackBerry, опубликованному в среду на выставке Black Hat 2020, все пять группировок оказались осколками группы «Winnti». «Winnti» известна с 2011 года своими громкими атаками на цепочки поставок программного обеспечения с целью распространения зараженного троянами программного обеспечения (например CCleaner, ASUS LiveUpdate и многочисленные зараженные видеоигры).
Обнаруженный исследователями инструментарий под Linux использовался в серии таргетированных атак. По сообщению Кевина Ливэлли, директора отдела по борьбе с угрозами BlackBerry, он состоит из шести различных компонентов. Выступая в среду, он отметил, что инструменты начинаются со скрипта bash-инсталлятора, запакованного внутри другого shell-скрипта, чья задача заключается в работе с удаленным сервером сборки. Этот сборочный сервер, являющийся вторым элементом в комплекте, настраивает для конкретной цели "на лету" пакет вредоносного ПО, который затем загружается в инфраструктуру жертвы.
Кастомный вредоносный пакет состоит из следующих элементов инструментария (3 и 4 компоненты): руткит и бэкдор в комплекте со скриптом установки. Что касается руткита, то исследователи BlackBerry обнаружили два варианта, оба предназначены для работы с идущим «в комплекте» бэкдором.
«Мы увидели адаптированные для различных версий ядра инструменты с современными средствами передачи команд и управления (CnC), тогда мы поняли что более старые версии ядра все еще используются - вероятно, причина поддержки старых версий ядра в том, что многие Linux-администраторы слишком медленно обновляют свои системы по разным причинам» - сообщил Ливэлли. «Мы нашли примеры вредоносного ПО, нацеленного на Red Hat Enterprise, CentOS и Debian, но, учитывая их специфику и сборку «на лету», можно с уверенностью сказать, что есть и другие версии».
«Пятый компонент - это панель управления атакующего, способная одновременно управлять целями как для Windows, так и для Linux, со своим собственным графическим интерфейсом пользователя» - заявил Ливэлли. И, наконец, шестой компонент - ботнет «XOR DDoS», который является крупнейшим известным ботнетом под «Linux» с 2015 года.
BlackBerry выявили данные обратного вызова сети атакованной организации прямо в коде вредоноса, что позволяет предположить, что на момент исследования хакерская группа уже создала инфраструктуру внутри цели до развертывания основного стека вредоносного ПО.
«Весьма вероятно, что все обнаруженные нами вредоносные программы для Linux были не вредоносными программами этапа проникновения, а скорее инструментом закрепления в сети жертвы, плацдармом, если можно так выразиться, и что компрометация целей была гораздо глубже и устойчивее" - сказал Ливэлли. «Мы также наблюдали широкое использование легитимной инфраструктуры облачных провайдеров в процессе атаки».
В дополнение к CnC-инфраструктуре и рассматриваемому набору вредоносов под Linux, стоит отметить, что другие вредоносные программы также заразили наблюдаемые системы.
«Серьезные злоумышленники почти всегда нацеливаются на несколько платформ. На этот раз мы обнаружили, что некоторые из той же группы злоумышленников владеют некоторыми вредоносными программами для Android, а другие - вредоносными программами для Windows. Мы нашли отличную точку обзора полного набора вредоносных программ и твердое доказательство кроссплатформенного подхода к шпионажу».
Ливэлли добавил, что подобное мероприятие не для тех, кто не располагает достаточными ресурсами.
«Злоумышленникам потребовалось много времени для внедрения, закрепления в сети цели, изобретения способа быстрой компиляции сложных вредоносных программ для нескольких комбинаций дистрибутивов Linux, версий ядра и установки вредоносов. Это требует крайней целеустремленности и серьезных усилий в плане разработки, тестирования и доработки программного обеспечения. И, вдобавок ко всему, авторам еще надо заново налаживать повседневную жизнь, у нас тут эпидемия COVID-19, знаете ли».
Linux и незаметность
Исследование показало, что данный набор вредоносных программ для Linux, вероятно, используется хакерами в течение почти десятилетия. По словам Ливэлли, одна из причин подобной долговечности заключается в том, что лица, принимающие решения в организациях не уделяют достаточно внимания атакам на Linux-системы.
«Подумайте минутку о людях, которые согласовывают зарплату или принимают важные решения» - сказал он. «Как часто слово «Linux» встречается в их разговорах? Для тех из нас, кто имел возможность работать у вендоров, насколько подробны предложения для Linux по сравнению с предложениями для Mac и Windows? Я готов поспорить, что в целом индустрия безопасности поддерживает бесчисленные комбинации дистрибутивов ядра Linux, что довольно бледно по сравнению с поддержкой, предоставляемой Windows. Это простая экономика, вы прилагаете большие технические и маркетинговые усилия к продуктам и платформам, имеющим наибольший спрос».
Как следствие, вредоносные программы для Linux могут оставаться незамеченными и предоставлять киберпреступникам широкий доступ к конфиденциальной информации.
«Вывод: разработчики исследованного пакета вредоносного ПО нацеливались на Linux-системы с учетом стратегической перспективы. Не стоит повторять, почему постоянно доступная природа Linux делает ее отличным плацдармом. Как часто вы переводите свой веб-сервер или сервер баз данных в автономный режим? Это где-нибудь около «никогда?»»
Ливэлли добавил, что серверы под управлением Linux представляют собой серьезнейшую часть критической инфраструктуры государственных учреждений и практически всех предприятий в современном обществе.
«Linux работает не только с веб-серверами и серверами баз данных, но и с прокси-серверами, файловыми серверами, VPN-серверами, биржевыми серверами, он встроен в IoT, он встроен в сетевые устройства, он встроен в автомобили. Веб-серверы под управлением Linux идеально подходят для сокрытия огромного количества отфильтрованных данных» - сказал он.
По словам Ливэлли, «о вредоносных программах для Linux писали и раньше – «Лаборатория Касперского» задокументировала их использование русской «Turla» и американской «Equation Group», а среди китайских хакеров мы видели исследования вредоносных программ для Linux от группировок «Deep Panda» и «APT41», нашими коллегами из Chronicle. Основной посыл в том, что мы должны следить за такими вещами».
Все дороги ведут к «Winnti»
Пять отдельных групп, которые использовали исследованные вредоносы, были каким-то образом связаны с «Winnti» и друг с другом, отметил Ливэлли.
«Например, мы проследили след CnC одной из групп и нашли пересечения доменов, что навело нас на файл со строкой под названием «wavedancer» в нашей выборке» - объяснил он. «И когда мы его разобрали, распарсив некоторые XML-строки, мы выкачали информацию о других CnC. Это позволило нам выявить несколько доменов, встречающихся в прочих наших исследованиях, которые были зарегистрированы на один адрес электронной почты».
«Кроме того, каждая из групп использовала привычную технику «Winnti». Одним из их отличительных признаков является использование сертификатов, украденных у видеоигровых компаний или у компаний, производящих рекламное программное обеспечение, - сообщил исследователь, - Это, наверное, самый простой общий знаменатель для этих групп».
Ливэлли считает, что «Winnti» может быть не реальной хакерской группой, а скорее ширмой для большого количества различных группировок. По его мнению, это, вероятно, группа подрядчиков, чьи инструменты и цели распределены между большим количеством хакерских групп. В качестве альтернативы, возможно, что Китайское правительство предлагает инструменты и поддержку различным хакерским группам, что FireEye назвало моделью «Digital quartermaster».
«Если эти группы активно сотрудничают, свободно делятся, если они состоят из одних и тех же членов, или, на самом деле, являются меньшими частями какой-то более крупной группы, то это выходит за рамки наших средств анализа», - сказал Ливэлли. «Но ясно одно: это не одиночная команда с одним трюком. Мы смотрим на долгосрочную, хорошо продуманную, богатую ресурсами операцию по сбору разведданных с большой командой разработчиков программного обеспечения для создания и обслуживания всех этих инструментов».
Перевод сделан со статьи https://threatpost.com/
