Ve státech, které podporují vojensky i politicky Ukrajinu, řádí Dvojník! Nenechte se zmást, Dvojník neboli DoppelGänger je název ruské dezinformační kampaně, která je zároveň i prvním tématem našeho přehledu. Problém, kterému obránci v současné době čelí, souvisí s krycí infrastrukturou čínských APT skupin, která je označována jako ORB. A naše týdenní trio doplňuje Turla se svým novým arzenálem backdoorů LunarWeb a LunarMail.
Hezké čtení!
Tým Cybule
Obsah:
- DoppelGänger – rozsáhlá ruská vlivová kampaň namířená proti státům podporující Ukrajinu
- Čínské APT skupiny využívají pronajatou síťovou infrastrukturu k zakrytí svých aktivit
- Turla využívá dva nové backdoory LunarWeb a LunarMail
DoppelGänger-rozsáhlá ruská vlivová kampaň namířená proti státům podporující Ukrajinu
(20.5.2024, Sekoia)
Kampaň DoppelGänger, známá také jako Recent Reliable News (RRN), představuje alarmující příklad hybridní strategie a demonstruje komplexní a propracované metody, které Rusko používá k dosažení svých cílů. Dlouhodobá kampaň využívá různé články, videa a karikatury v angličtině, němčině, francouzštině, hebrejštině a ukrajinštině, s cílem oslabení podpory Ukrajiny. Cílem propagovaných narativů je především zasít mezi západní veřejností pochybnosti o pomoci Kyjevu a zesílení vojenské a finanční podpory v kontrastu dopadu na vlastní životní podmínky. Druhým cílem narativů je podkopat důvěru v instituce a zesílit kritiku rozhodnutí vedoucích představitelů a institucí. V neposlední řadě kampaň zneužívá politických, společenských a náboženských rozporů, aby zvýšila svůj dopad a oslabila solidaritu a podporu západního obyvatelstva.
Co potřebujete vědět:
- DoppelGänger je pokračující vlivová kampaň, která trvá nejméně od roku 2022 a je připisována ruským společnostem Structura National Technologies (Structura) a Social Design Agency (SDA)
- Operace je součástí rozsáhlé série vlivových kampaní, které s velkou pravděpodobností koordinuje ruská vláda. Mezi ně patří: InfoRos (2000-2014) Secondary Infektion (od roku 2014), DoppelGänger/RRN (od roku 2022), Portal Kombat (2023).
- Kampaň je zaměřená na západní země-především na Francii, Německo, Ukrajinu a Spojené státy. Kromě toho se cíleně zaměřuje na publikum ve Velké Británii, Litvě, Švýcarsku, na Slovensku a v Itálii, nicméně v menším měřítku. Minimálně od listopadu 2023 je dezinformačním narativům vystaven také Izrael.
- Dezinformační síť se skládá ze dvou typů webových stránek – webových stránek kategorie 1, které napodobují adresy legitimních webů (útočníci využívají techniku typosquattingu a lákají oběti k návštěvě běžného obsahu. Webové stránky kategorie 2 se prezentují jako nezávislá média.
Dvě kategorie dezinformačních webů ( Seikoia)
- Webové stránky 2. kategorie se zaměřovaly na konkrétní publikum podle různých charakteristik: stránky věnované speciálně LGBTQ+, Evropské unii, otázkám migrace, protiválečným aktivistům, apod.
- Kampaň vyniká svou propracovaností, která vychází z pečlivé identifikace klíčových komunit reagujících na obsah relevantní pro ruské zájmy.
- Kampaň DoppelGänger šíří narativy specificky přizpůsobené cílovým skupinám v závislosti na jejich zemi pobytu. Každý článek publikovaný na webové stránce či sociální síti je propojen s identifikátorem kampaně, který zahrnuje kód ISO 3166-1 alpha-2 cílové země, datum zveřejnění (dd-mm) a název publikující webové stránky.
- Mezi listopadem 2023 a dubnem 2024 byl zaznamenán pokles aktivity kampaně DoppelGänger, jež pravděpodobně souvisí s medializací kampaně v období od srpna do prosince 2023. Zveřejnění informací o kampani mohlo aktéry podnítit k přesunu na novou infrastrukturu (např. Voice of Europe, News Front) nebo k úpravě stávajících nástrojů, čímž došlo ke ztížení sledování kampaně.
- Kampaň DoppelGänger šířila dezinformace a propagandu na zavedených platformách jako Facebook a X, ale i na novějších sociálních sítích zaměřených na sdílení videí, jako je TikTok, Instagram, YouTube a Cameo.
Komentář Cybule: Kampaň DoppelGänger se zaměřuje na šíření dezinformací a manipulaci s informacemi prostřednictvím falešných webových stránek, profilů na sociálních sítích a cílených narativů přizpůsobených specifickému publiku. Vzhledem k rozsahu a sofistikovanosti kampaně je důležité, aby vlády, média a občané spolupracovali na boji proti dezinformacím a ochraně demokratických procesů. Veřejnost si musí být vědoma rizik spojených s dezinformacemi a kriticky posuzovat informace z neznámých zdrojů.
Čínské APT skupiny využívají pronajatou síťovou infrastrukturu k zakrytí svých aktivit
(22.5.2024, Mandiant + podcast)
Mandiant upozorňuje na rostoucí trend mezi kyberšpionážními operacemi spojenými s Čínou, kdy APT aktéři využívají proxy sítě, které Mandiant označuje jako „ORB sítě“ (operational relay box networks), k zakrytí svých špionážních operací. ORB sítě jsou podobné botnetům a skládají se z pronajatých virtuálních privátních serverů (VPS) či kompromitovaných zařízení, jako jsou zařízení internetu věcí (IoT), chytrá zařízení a zastaralé routery a další síťová zařízení, která jsou po skončení podpory ze strany výrobce. Budováním sítí kompromitovaných zařízení mohou administrátoři ORB sítí snadno zvětšovat své sítě a vytvářet neustále se vyvíjející mesh sítě, které skrývají špionážní aktivity. Mandiant klasifikuje ORB sítě do dvou základních typů. Sítě mohou být zajištěné (provisioned), skládající se z komerčně pronajatých VPS, spravovaných administrátory ORB, nebo mohou být nezajištěné (non-provisioned), zahrnující kompromitované a zastaralé routery a IoT zařízení. Administrátoři ORB sítí mohou kombinovat oba přístupy a vytvořit hybridní model.
Rozdíl mezi zajištěnou a nezajištěnou ORB sítí
Zajištěné (provisioned) ORB sítě | Nezajištěné (non-provisioned) ORB sítě |
VPS zařízení pronajatá od komerčních poskytovatelů | Kompromitované routery a IoT zařízení |
Zpráva síťových uzlů aktérem | Posilování a rozšiřování infrastruktury s využitím vlastního malwaru |
Zajištěné sítě vyžadují, aby aktéři spravovali virtualizace na pronajatých zařízeních | Nazajištěné sítě často využívají pronajatá VPS zařízení jako servery řízené aktérem („ACOS uzly“). |
Kdo jsou administrátoři ORB sítí?
ORB síť je infrastruktura spravovaná soukromými bezpečnostními společnostmi v Čínské lidové republice (ČLR), které jsou odlišné od APT aktérů. Administrátoři poskytují komerční přístup k těmto sítím více APT skupinám, které ORB sítě využívají k provádění špionážních aktivit. Oproti tradičnímu modelu, kde APT skupina vlastní infrastrukturu, kterou používá ke kybernetickým útokům, ORB infrastruktura je poskytovaná třetí stranou. Útočníci poté dočasně využívají ORB sítě k zakrytí svých aktivit a nasazení vlastních nástrojů.
Co potřebujete vědět:
- Používáním ORB sítí pro špionážní účely mohou aktéři maskovat provoz mezi jejich infrastrukturou a prostředím oběti. To zahrnuje zneužívání zranitelných edge zařízení prostřednictvím zranitelností nultého dne, což ztěžuje sledování nebo zachycení škodlivých aktivit.
- ORB síť má pět základních komponentů:
- Server řízený útočníkem (Adversary Controlled Operations Server, ACOS): server řízený aktérem, který se používá k administraci uzlů v síti ORB.
- Relé uzel (Relay node): nejčastěji pronajatý VPS uzel u významného poskytovatele cloudových služeb v Číně nebo Hongkongu (např. Tencent a Alibaba). Tento uzel umožňuje uživatelům sítě ORB autentizovat se do sítě a přenášet provoz přes velké množství traverzních uzlů.
- Přechodové uzly (Traversal Nodes): hlavní objem uzlů, které tvoří síť ORB. Mohou to být buď zajištěné nebo nezajištěné uzly a slouží k přenosu provozu napříč sítí ORB, čímž dojde k zakrytí původu síťového provozu. Některé ORB sítě mohou využívat více typů nebo zahrnovat více vrstev přechodových uzlů.
- Přípravné či výstupní uzly (Staging/Exit Nodes): uzly spravované škodlivým aktérem, které často vykazují stejné charakteristiky jako přechodové uzly a používají se k opuštění sítě ORB do prostředí oběti.
- Server oběti: infrastruktura oběti komunikující s uzlem sítě ORB.
- ORB 2/FLORAHOX je příkladem využití nezajištěné ORB sítě s hybridními prvky. Skládá se z ACOS uzlu, kompromitovaných síťových routerů a IoT zařízení, a pronajatých VPS serverů. Síť slouží k proxy provozu z jednoho zdroje a jeho přesměrování přes TOR síť a několik kompromitovaných routerů k zastření původu provozu. ORB 2 je využíván vícero čínskými APT skupinami, včetně APT31.
- Příkladem zajištěné ORB sítě, aktivně využívané různými čínskými APT skupinami, je ORB3/SPACEHOP. Tato síť se skládá ze serverů poskytnutých jediným provozovatelem se sídlem v Číně. ORB2 byla např. využívána k provádění skenování a zneužívání zranitelností aktéry spojenými s Čínou, včetně skupin APT5 a APT15.
- Využitím ORB infrastruktury aktéři rovněž outsourcují část zodpovědnosti za operační bezpečnost na provozovatele sítě, což je v důsledku, součástí komerční nabídky provozovatelů. Konkurenční výhodou mezi dodavateli ORB sítí v Číně je schopnost cyklovat významné procento své kompromitované nebo pronajaté infrastruktury na zhruba měsíční bázi. Z tohoto důvodu má blokování síťových indikátorů velmi omezenou efektivitu.
Schéma ORB2/FLORAHOX (Mandiant)
Schéma ORB3/SPACEHOP (Mandiant)
Komentář Cybule: Report Mandiantu je zajímavý i v souvislosti s odhalením, že velmi aktivní čínské skupiny Aquatic Panda a APT31, jsou relativně malé kyberofenzivní čínské firmy I-Soon a Wuhan XRZ, které jsou součástí ekosystému, kde soukromé firmy v ČLR nabízejí své ofenzivní schopnosti čínskému státu. Analýza Mandiantu ukazuje na další prvek této spolupráce: komerční pronajímání infrastruktury pro potřeby špionážích aktérů. Čínské skupiny jsou známé častým používáním botnetů pro zakrytí své aktivity. ORB sítě plní v zásadě stejnou funkci, rozdíl je v tom, že APT aktér nemusí potřebnou infrastrukturu postavit sám, ať už registrací komerčně dostupných VPS služeb nebo napadením velkého množství zařízení. ORB infrastrukturu může využívat několik aktérů najednou. Report Mandiantu je třeba vnímat i jako formu marketingu. Analýza Mandiantu nicméně ukazuje na reálný problém, kterému obránci čelí. Tradiční indikátory jako jsou IPv4 adresy rychle ztrácejí relevanci v prostředí, kdy správce ORB sítě jednou za měsíc obmění infrastrukturu. Sledovaní ORB sítí podobným způsobem, jakým sledujeme APT skupiny, je krok správným směrem.
Turla využívá dva nové backdoory LunarWeb a LunarMail
(15.5. 2024, ESET)
Bezpečnostní společnost ESET identifikovala dva dosud neznámé backdoory, LunarWeb a LunarMail, které byly použity při kompromitaci evropského ministerstva zahraničí, a které se střední mírou jistoty přisuzují ruské APT skupině Turla (známé také jako Venomous Bear, Uroboros či Snake). Oba backdoory, sdílejí loader, vykazují překrývání kódu a podporují podobné příkazy, nicméně využívají různé metody komunikace s C2 infrastrukturou pod kontrolou útočníka. První backdoor, LunarWeb, používá HTTP(S) a snaží se splynout s prostředím napodobováním provozu legitimních služeb, jako je Windows Update. Druhý backdoor, LunarMail, se integruje s Outlookem a komunikuje prostřednictvím e-mailových zpráv, přičemž k exfiltraci dat používá buď PNG obrázky nebo PDF dokumenty. Zajímavá je kolísající míra propracovanosti. Instalace na kompromitovaných serverech byla provedena s maximální opatrností, aby se zabránilo detekci bezpečnostním softwarem. Postup při instalaci kontrastoval s chybami v kódu a odlišnými styly kódování v backdoorech, což naznačuje, že na vývoji těchto nástrojů se pravděpodobně podílelo více jedinců. ESET poznamenává, že ačkoli je pozorovaná kompromitace nedávná, podrobnější analýza naznačuje, že oba backdoory unikaly detekci po delší dobu a byly používány nejméně od roku 2020.
Způsob kompromitace u nástrojů LunarMail a LunarWeb (ESET)
Co potřebujete vědět:
- Turla je pokročilá ruská skupina, která s vysokou mírou pravděpodobnosti působí v rámci Federální bezpečnostní služby (FSB) Ruské federace.
- ESET Research objevil dva dříve neznámé backdoory – LunarWeb a LunarMail – použité při kompromitaci nejmenovaného evropského Ministerstva zahraničních věcí a jeho diplomatických misí:
- LunarWeb, nasazený na serverech, používá HTTP(S) pro C2 komunikaci a napodobuje legitimní požadavky.
- LunarMail, nasazený na pracovních stanicích, se tváří jako doplněk do Outlooku a k C2 komunikaci používá e-mailové zprávy.
- Oba backdoory využívají steganografie pro obcházení detekce. Steganografie je technika vkládání škodlivého obsahu v obrázcích.
- Oba backdoory využívají loader LunarLoader, který používá pro dešifrování payloadu DNS doménové jméno napadené organizace. Použití DNS doménového jména pro dešifrování payloadu slouží jako bezpečnostní pojistka, která zajistí, že se loader správně spustí pouze v cílové organizaci.
- Loader může mít různé podoby, včetně trojanizovaného open-source softwaru, což demonstruje pokročilé techniky používané útočníky.
Komentář Cybule: APT skupina Turla představuje trvalou hrozbu pro vysoce postavené subjekty, jako jsou vládní instituce a diplomatické organizace v Evropě, Střední Asii a na Středním východě. Jejich aktivity sahají již do konce 90. let a vyznačují se sofistikovanými nástroji a technikami zaměřenými na shromažďování citlivých informací. Minulý rok se americkému ministerstvu spravedlnosti podařilo narušit infrastrukturu Turly a odstranit malwarový implantát s názvem Snake, který sloužil jako klíčový nástroj pro jejich špionážní aktivity. I přes tento dílčí úspěch Turla nadále představuje značné riziko a je nezbytné, aby se cílové subjekty aktivně chránily před jejich rafinovanými útoky.