Mezinárodní operace Dying Ember, na které se podílela i Česká republika, byla namířena proti globální infrastruktuře kompromitovaných routerů zneužívaných ruskými útočníky ze skupiny APT28. Vojenské zpravodajství provedlo aktivní zásah, který mu umožnil zákon o Vojenském zpravodajství, jenž spočíval v úpravě nastavení části infrastruktury napadených zařízení, které byly namířeny proti významným cílům v České republice i v zahraničí.
Kdo je APT28?
APT28 (známá také jako Fighting Ursa, Fancy Bear, Strontium, Forest Blizzard, Pawn Storm, Sofacy, Sednit, TA422) je kyberšpionážní skupina, aktivní minimálně od roku 2004, s vazbami na ruskou vojenskou rozvědku – známou svým zaměřením na cíle spojené s ruskými strategickými vojenskými zájmy. Skupina je s velkou pravděpodobností zařazena pod 85. speciální servisní středisko (GTsSS), vojenské zpravodajské jednotky 26165, Hlavního zpravodajského ředitelství ruského generálního štábu (GU/GRU). Svůj mezinárodní věhlas získala především kvůli ovlivňování voleb ve Spojených státech, Francii, útokům proti Mezinárodní antidopingové agentuře (WADA) a narušováním vyšetřování pokusu o zabití Andreje Skripala látkou Novičok provedeném agenty GRU ve Velké Británii.
Na koho kampaň míříla?
Podle analýzy společnosti Palo Alto kampaň mířila proti 14 zemím, které jsou zároveň členskými zeměmi NATO, s výjimkou jednotlivých subjektů v Ukrajině, Jordánsku a Spojených arabských emirátech. Organizace zahrnovaly subjekty kritické infrastruktury a vládní instituce, které poskytují informační výhodu v diplomatických, ekonomických a vojenských záležitostech v době mezinárodního konfliktu – tedy na Ministerstva obrany, zahraničních věcí a další instituce, které jsou uvedeny níže.
Zjištěné cíle APT28 (Palo Alto)
Jak útoky APT28 probíhaly?
APT28 ve svých kampaní od dubna 2022 zneužívala zranitelnost CVE-2023-23397. Zranitelnost se nachází v aplikaci Microsoft Outlook a lze ji zneužít doručením speciálně upravené e-mailové zprávy na MS Outlook klienta. Aby se tak stalo, není potřeba interakce od uživatele. Při úspěšném zneužití zranitelnosti útočník získá hash ověřovacího protokolu Net-NTLMv2 oběti, který lze využít k pohybu v síti napadené organizace. Speciálně upravený e-mail obsahuje UNC path, která odkazuje na SMB (protokol pro síťové sdílení souborů a dat) server útočníka. Při doručení e-mailu dojde k pokusu o NTLM autentizaci na daný server.
Tyto kampaně trvaly minimálně do srpna 2023. Počátkem dubna 2023 začala APT28 využívat propracovanější metody, kdy se jednalo o skripty hostované na Mockbin (mockbin.org), jež byly obětem zasílány prostřednictvím e-mailové zprávy. Mockbin URL zkontroloval hodnotu User-Agentu a kód země, na základě kterého přesměroval uživatele na PHP script, jenž byl hostovaný na doméně často končící na infinityfreeapp[.]com. Tato doména byla také využívána APT28 v kampaních z roku 2021.
Ukázka exfiltrace uživatelského jména v kampani APT28 (TrendMicro)
TTPs spojené s kampaní APT28 zahrnovaly především tyto znaky:
- Využívání free-emailových poskytovatelů, např. PortugalMail, k odesílání spear-phishingových zpráv.
- Využívání služeb InfinityFree, Mocky a Mockbin k doručování payloadu a získávání exfiltrovaných dat.
- Využívání HTML smugglingu k implementaci archivu (např. ZIP nebo RAR) za použití kódování Base64.
- Využití technik LOTL (s využitím legitimních spustitelných souborů systému Windows) ke shromažďování informací ve fázi reconnaissance (průzkumu).
- Využívání webového prohlížeče Microsoft Edge ke stahování payloadu, který používá v příkazovém řádku parametr msedge –headless=new –disable-gpu.
- Využívání PowerShell kódu k ověření NTLM relace z aktuálního uživatelského účtu.
- Využívání VPN služeb: Surfshark, ExpressVPN, CactusVPN, Le VPN.
Operace FBI „Dying Ember“ – kompromitované routery Ubiquiti
Vyšetřování FBI odhalilo, že APT28 využívá kompromitované routery Ubiquiti – především jako proxy servery pro získávání přihlašovacích údajů, shromažďování NTLMv2 hashů a také jako místo pro umístění spear-phishingových landing pages.
Pro získání přístupu k síti oběti využívali útočníci malwary, které zahrnovaly různé špionážní funkce od zaznamenávání stisků kláves až po exfiltraci dat. Počátečním vektorem přístupů v routerům Ubiquti byl malware Moobot.
„Mirai“ útočníci nainstalovali Moobot malware k vytvoření a udržování botnetu, kterým infikovali předmětné routery. Při této činnosti využili známých zranitelností a ponechaných výchozích přihlašovacích údajů – tj. obecných, veřejně známých přihlašovacích údajů, které se používají pro přístup k zařízení při počátečním nastavení – a která jsou zároveň přístupná na dálku. U těchto routerů se jednalo o přihlašovací údaje, které jsou dostupné ve veřejné dokumentaci: „ubnt“/“ubnt“.
Malware umožňoval přístup komukoliv a zároveň ve veřejném banneru zobrazoval specifické číslo verze OpenSSH, které neodpovídalo legální verzi OpenSSH. Na základě analýzy obsahu mnoha routerů Ubiquiti infikovaných Moobotem FBI vyhodnotila, že aktéři APT28 pravděpodobně našli a nelegálně získali přístup ke kompromitovaným routerům Ubiquiti tak, že provedli skenování internetu s použitím specifického čísla verze OpenSSH jako vyhledávacího parametru, a poté pomocí Moobotu získali přístup ke kompromitovaným routerům Ubiquiti.
Během vyšetřování se podařilo FBI získat scripty a soubory, které vypovídají o detailech kampaně APT28 (jedná se především o vlastní Python skripty pro sběr přihlašovacích údajů k e-mailům, programy používané pro sběr NTLMv2 hashů a pravidla určená k přesměrování phishingového provozu na předem určenou infrastrukturu).
Napadené routery Ubiquiti využívali útočníci z APT28 k usnadnění spear-phishingových kampaní. V některých případech útočníci zasílali speciálně vytvořené spear-phishingové e-maily uživatelům Microsoft Outlook, ve kterých využívali zranitelnost CVE-2023-23397 k přenosu přihlašovacích údajů obětí zpět na kompromitované routery Ubiquiti. Zároveň byly kompromitované routery Ubiquiti využívány k přijímání a ukládání odcizených přihlašovacích údajů.
V jiné identifikované kampani aktéři APT28 navrhli falešnou vstupní stránku Yahoo!, která odesílala přihlašovací údaje zadané na falešné stránce na kompromitovaný router Ubiquiti, kde je dále útočníci shromažďovali.
Útočníci vytvářeli a upravovali soubory ve složce /home/ a /root/ na napadeném zařízení.
Kromě souborů spojených s aktéry APT28 obsahovaly napadené routery Ubiquiti, analyzované FBI, několik adresářů a souborů vytvořených a nainstalovaných Moobotem. Tyto adresáře a soubory byly spojeny s malwarem Moobot a nebyly vytvářeny legitimními uživateli, ani běžnými systémovými procesy. Tyto soubory obvykle obsahovaly zcizené přihlašovací údaje a soubory a skripty, které poskytují Moobotu další funkce, včetně skriptu umožňujícího komunikaci s C2 serverem Moobotu, brute-force nástroje a malware určený ke krádeži legitimních přihlašovacích údajů uživatelů routerů.
Kompromitované routery Ubiquiti obsahovaly také soubory Moobot se seznamem několika škodlivých domén a IP adres. V některých případech bylo pozorováno, že napadené routery Ubiquiti vytvářejí VPN tunely pro komunikaci s těmito IP adresami, které se zdají být C2 servery Moobot.
V rámci soudem povolené operace využila FBI malware Moobot ke kopírování a mazání ukradených, škodlivých dat a souborů z napadených routerů. Z důvodu omezení přístupu GRU k routerům do doby, než oběti zmírní kompromitaci a znovu získají plnou kontrolu nad svými zařízeními, byla v rámci operace upravena pravidla firewall brány routerů tak, aby byl zablokován přístup k zařízením pro vzdálenou správu.
Jak byl botnet vytvořen?
Botnet se lišil od předchozích tím, že nebyl vytvořen od nuly útočníky APT28, ale zločineckou skupinou, která je spojena s botnetem Mirai známým jako Moobot. Tito útočníci malware naistalovali na routery Ubiquiti Edge OS. Následně APT28 využila malware Moobot k instalaci svých vlastních skriptů a souborů, které botnet přeměnily v platformu určenou pro kybernetickou špionáž.
Závěr
Operace Dying Ember přichází krátce poté, co americké úřady narušily KV-Botnet využívaný čínskou státem sponzorovanou skupinou Volt Typhoon. Obě tyto snahy o zastavení šíření odrážejí, jak vážně USA berou ruské a čínské kybernetické aktivity a že USA nebudou váhat podniknout kroky potřebné ke zmírnění rizika, které tyto hrozby představují. Zároveň operace Dying Ember podtrhuje důležitost spolupráce na mezinárodní úrovni proti kybernetickým hrozbám, mezi které boj proti kyberšpionáži zaručeně patří.
Zdroje: malpedia, Palo Alto, Trend Micro, Mandiant, The Hacker News, SocPrime. Splunk, Proofpoint.