Careto – Kaspersky ujawnia niezwykle zaawansowany (i hiszpańskojęzyczny) APT

Advanced Persistent Threat – termin uknuty przez analityków sił powietrznych Stanów Zjednoczonych opisujące ataki mające długofalowe założenia, korzystające z zaawansowanych technik i skierowane przeciwko konkretnym celom. Można by wręcz stwierdzić, że są przeciwieństwem ‘hacks of opportunity’ kiedy to napastnicy wykorzystują odkrytą lukę w bezpieczeństwie. W przypadku APT najpierw określany jest cel ataku a dopiero potem wyszukiwane są słabości które umożliwią konkretny rodzaj ataku. Takie działania kojarzone są najczęściej z akcjami sponsorowanymi przez rządy ze względu na konieczność zaangażowania znacznych środków. Najsłynniejszym przykładem pozostaje zapewne Stuxnet – efekt działań rządów USA i Izraela odpowiedzialny za zniszczenie irańskich wirówek służących do wzbogacania uranu.

Atak Careto opierał się w dużej mierze na spear phishingu – spreparowane emaile rozsyłane przez malware miały skłonić ofiarę do odwiedzenia zarażonej strony. W zależności od wykrytej konfiguracji stosował odpowiednie exploity. Co interesujące adresy były usuwane na bieżąco, więc nie udało się pozyskać wszystkich wersji exploitów użytych podczas ataku. Korzystały one jednak głównie z apletów Java i wtyczek Flash Player. Exploit wykorzystujący Flash Playera był przeznaczony dla konkretnej, nieaktualnej już wersji 10.3.x co oznacza, że napastnicy wykorzystywali te lukę niedługo po jej odkryciu (została odkryta w 2012 roku – wpis z NVD). Ostateczny cel działań Careto pozostaje nieznany. Znany jest jednak szeroki zakres celów – zarówno jeżeli chodzi o ilość zaatakowanych maszyn , rodzaj zbieranych danych jak i branże dotknięte atakiem. Według raportu Kaspersky Lab, Careto zaatakował instytucje rządowe, placówki dyplomatyczne, przedsiębiorstwa energetyczne i badawcze, a także firmy private equity i grupy aktywistyczne. Równie rozległy jest zakres geograficzny ataku – obejmował on ponad 1000 komputerów w 31 państwach, a większość celów znajdowała się na terytorium Hiszpanii, Maroka, Wenezueli i Francji. Wśród ofiar znalazły się również 2 cele na terytorium Polski. Najbardziej niepokojący (i być może imponujący) jest jednak zakres danych jakie były gromadzone – Careto przychwytywało ruch sieciowy, wciśnięcia klawiszy, rozmowy poprzez Skype’a, ruch w sieci WiFi, klucze PGP, wszystkie informacje z urządzeń Nokii, a wykonywał zrzuty ekranu i monitorował wszelkie operacje na plikach. Co więcej analizował pliki zgromadzone na maszynie i pozyskiwał z nich klucze kryptograficzne, klucze SSH, pliki RDP (konfiguracji zdalnego pulpitu), oraz konfiguracje VPN. Równie imponujący jest zakres systemów które zostały zaatakowane. Potwierdzone zostały już rootkity i bootkity dla Windowsa (zarówno 32 jak i 64 bitowego) oraz Mac OS X, natomiast ślady w oprogramowaniu wskazują na istnienie wersji dla Linux, iOS i Androida. Careto jest aktywne już od 2007 roku.

Malware składał się ściśle rzecz biorąc z dwóch części – paczki z backdoorem Careto który dział na poziomie aplikacji, zbierał informację o systemie i wykonywał polecenia przekazywanie przez serwer C&C, natomiast paczka ‘SGH’ działa w jądrze systemu – zawarty był tam rootkit i moduły służące do przechwytywania operacji na plikach i zdarzeń systemowych oraz pozyskiwania plików. Co więcej ‘SGS’ otrzymywał własne, osobne od Careto, polecenia od serwerów C&C. Co więcej w przypadku niektórych wersji Kaspersky odkryło opartego na klonie netcata ‘sbd’ backdoora (chodzi o Shadowinteger’s Backdoor). Jednak to SGH dzięki zaawansowanej metodzie ataku przyciągnął uwagę pracowników Kaspersky Lab. Malware przejmował kontrolę nad sterownikiem Kaspersky’ego i wpisywał na whiteliste antywirusa wszystkie procesy o nazwie ‘services.exe.’ Teoretycznie ta metoda umożliwiała przetrwanie uaktualnień sygnatur antywirusowych. Atak ten nie był jednak do końca dopracowany gdyż inne moduły zostaną wykryte wcześniej i zakończą proces SGH. Co więcej SGH ma niezwykle modularną strukturę umożliwiającą dopasowanie ataku do konkretnych potrzeb i systemu który został zarażony. W skład modułów wchodzą wszystkie opisane wcześniej możliwości zbierania informacji, jak również możliwośc udostępnienia funkcji kryptograficznych i kompresyjnych innym modułom. Careto wyposażony był również w certyfikaty firmy ‘TecSystem Ltd” z Bułgarii. Nie wiadomo jednak czy zostały spreparowane od podstaw czy zostały wykradzione prawdziwej firmie. Komunikacja pomiędzy serwerami C&C i maszynami ofiar odbywała się poprzez protokoły HTTP i HTTPS i była zaszyfrowana na dwóch poziomach: dane z serwerów były zaszyfrowane tymczasowym kluczem AES przekazywanym z danymi i dodatkowo zaszyfrowane kluczem RSA. Ten ostatni był wykorzystywany do zaszyfrowania danych kierowanych do serwerów.  Aby ukryć serwery C&C przed potencjalnym odkryciem, dostęp został zablokowany dla adresów IP wielu dostawców oprogramowania antywirusowego.

Co ciekawe komentarze znalezione w kodzie, nazwiska osób które rzekomo zarejestrowały domeny C&C, a także fakt iż spear phishing przeprowadzany przez program kierował ofiary na hiszpańskojęzyczne strony sugerują hiszpańskie pochodzenie ataku. Byłby to pierwszy tego rodzaju atak z tego rejony geograficznego, jest jednak równie prawdopodobne, że działanie takie celowo ma zmylić potencjalnych śledczych. Oczywiście największą tajemnicą pozostaje źródło i cel ataku. Biorąc pod uwagę stopień złożoności ataku nie sposób wykluczyć udziału organizacji rządowych – stwierdzenie, że atak jest bardziej zaawansowany niż Duqu czy RedOctober tylko utwierdzają w takim przekonaniu. Również obecność instytucji rządowych oraz placówek dyplomatycznych na liście celów uprawdopodobniają taką wersję. W końcu bardzo możliwe jest, iż celem ataku była tylko jedna, szczególnie istotna dla napastników, branża a inne ataki mają na celu tylko zmylić badających malware. Nie wątpliwe nie jest to koniec historii Careto, a czas pokaż na ile sprawdzą się poszczególne przypuszczenia.

Pełny raport Kaspersky Lab zawierający opis techniczny ataku dostępny jest tutaj.

Advertisements

Tags: , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: