Hackeři špehovali středoasijské firmy i státní instituci – Avast a ESET pomohli při analýze útoku

Avast 15 Kvě 2020

Společně s experty z firmy ESET jsme spolupracovali na analýze útoku APT použitého při špehování na telekomunikační firmu, plynárenskou společnost a státní instituci v Asii

Středoasijské firmy a instituce čelily v posledních dnech útoku APT (advanced persistent threat; pokročilé trvalé hrozby). Na rozboru vzorků malwaru z dílny hackerů, kteří špehovali telekomunikační a plynárenské společnosti a státní instituci ve Střední Asii, jsme spolupracovali společně s experty ze společnosti ESET. Je pravděpodobné, že se jedná o hackery z Číny, tedy o stejnou skupinu, která stojí také za aktivními útoky v Mongolsku, Rusku a Bělorusku. Nasvědčuje tomu  jednak to, že použili malware Gh0st RAT, který v minulosti používaly právě čínské APT skupiny, a dále pak podobnosti mezi kódy, které jsme zanalyzovali a těmi, které už byly dříve přiřazeny právě čínským kyberzločincům. 

Jak se hackeři do sítí společností dostali?

K získání dlouhodobého přístupu do korporátních sítí využívali hackeři zadní vrátka (backdoor). Ta jim umožnila manipulovat se soubory, mazat je, pořizovat snímky obrazovky, upravovat procesy či spouštět konzolové příkazy. Mimo to se mohla také sama odstranit. Některé z příkazů dokázaly backdooru nařídit, aby vyfiltroval data zpět na řídicí C&C server, a ten pak mohl dát nakaženým zařízením povel, aby se chovala jako prostředník nebo odposlouchávala konkrétní port v každém síťovém rozhraní. Hackeři používali k pohybu v síti také další nástroje, jako je malware Gh0st RAT a rozhraní Windows Management Instrumentation.

„Skupina, která za těmito útoky stojí, se snažila vyhnout detekci antivirem, a proto často přeprogramovávala své nástroje, mezi které kromě backdoorů patřily také Mimikatz a Gh0st RAT,” vysvětluje bezpečnostní výzkumník z Avastu Luigino Camastra. „Díky tomu jsme získali velké množství vzorků, jejichž binární soubory jsou však chráněné softwarem VMProtect, o to složitější je jejich analýza. Na základě našich zjištění a faktu, že jsme prvky těchto útoků dokázali propojit s útoky v jiných zemích, předpokládáme, že skupina cílí i na další země,“ dodává.

 

Nález jsme ohlásili místnímu CERT týmu počítačové bezpečnosti a spojili jsme se s telekomunikační společností, kterou útočníci napadli. 

Pokud vás útok zajímá a chcete se o něm dozvědět více informací, můžete se podívat na kompletní analýzu vzorků, které jsme objevili, zde na našem technickém blogu Decoded

--> -->