Как работают русские хакеры.

Disclaimer: Эта статья основана на whitepaper компании ESET, опубликованной в октябре 2016 года. ESET одна из ведущих фирм специализирующейся в области кибер безопасности. Основанная в 1992 году, в Словакии компания начинала с разработок анти-вирусных программ. (https://www.eset.com/us/about/) (https://en.wikipedia.org/wiki/ESET)

Я инженер-программист с 15-и летним стажем не являюсь специалистом в кибер-безопасности, но мой опыт даёт мне достаточно знаний разобраться и понимать принцип хакерской активности описанный в ESET whitepaper. Я старался написать эту эту статью как можно более простым языком, понятным для обывателя не разберающегося в технической сфере. Поэтому термины, понятия специально упрощены.

Доклад рассказывает как работают русские хакеры. Доклад не делает выводы кто взломал почту DNC. Этот вывод делает CIA/NSA, а не компания ESET. Если верить специалистам наших Intelligence Services (IS), то можно предположить, что почту DNC взламывали именно методами которые описываются в докладе. То есть не удивлюсь если американские IS сделали похожие выводы которые сделала фирма ESET.  Более того, можно допустить что наши спец-службы имеют технические возможности которые недоступны компании ESET.

Терминалогия

Phishing – фонетически похоже на “fishing” (рыбалка) является одной из форм кибер мошенничества, при котором злоумышленник пытается узнать такую ​​информацию, как имена пользователей и пароли или данные учетной записи маскируясь под видом авторитетного юридического или физического лица в электронной почте, Instant Messenger или другим каналам связи. То есть расылаются огромное количество почты (закидывания невода, отсюда и название) в надежде, что хоть кто-то попадёт в сеть и поведётся на фэйковую почту

Backdoor programs – программы которые являются средством доступа к компьютерной программе или системе, которая обходит механизмы безопасности. Программист может иногда установить “backdoor”, чтоб можно было использовать для поиска неисправностей, troubleshooting или других целей. Хакеры часто используют back door для атаки или exploit.

Malware – software предназначенo для повреждения или отключения компьютеров и компьютерных систем. или образно коллекция вредоносных программ

Атака нулевого дня (A zero day vulnerability attack or zero-day exploits) – относится к уязвимости software или операционной системы о котором неизвестно разработчику. Эта брешь в безопасности программы используятся хакерами ДО того, как создатель пробраммы смог зафиксировать пролом и починить его. Я выделяю существование 4-x вида хакеров.

1) Случайные-честные хакеры. Случайно обнаружив дефект в программе они оповещают о нём создателя софта

2)Хакеры хиппи-анархисты. Находят брешь ради “спортивного интереса” или под влиянием крайне левых идеологических вглядов. Хакеры оргранизации “Anonymous’ типичные представители “хиппи-анархист”.

3) Хакеры-мошенники: взламывают систему преследуя исключительно цели собственной финансовой наживы.

4)Хакеры-шпионы – взламывают системы исключительно в целях государственных интересов в области cyber domain. Cyber domain можно расматривать как одну из областей военной системы.

Цитата из книги Майкла Хэйдэна отставного генерала и руковидителя NSA и CIA:

“And the first article of faith at Air Intelligence Agency was simply that cyber was a “domain.” “You know, General. Land, sea, air, space, cyber…It’s a domain, an operational environment, and— just like all the other domains— it has its own characteristics. This one is characterized by great speed and great maneuverability, so it favors the offense. It is inherently global. It is inherently strategic.”[1]

Доклад фирмы ESET показывает и обьясняет почему русские хакеры принадлежат именно к 4-й категории. Но вернусь к атаке нулевого дня. Подобные бреши относительно редки (хотя оппоненты фирмы Майкрософт с этим поспорят. Существует чёрный рынок где можно купить “атаку нулевого дня”. То есть хакеры находят брешь в софте и продают методику как можно эксплуатировать эту брешь. Цены на подобные вещи достаточно разные, в зависимости от различных факторов. В основном: чем больше брешь позволяет доступа к взломанной системе – тем дороже. Цены на чёрном рынке за подобные “проёмы” в software могу доходить до $200,000, а иногда и дороже

BLUF: Bottom Line Up Front

Уровень взломов продемонстрированный русскими хакерами, является мастерством наивысшего класса и был продемонстрирован неимоверный технологический уровень знаний. Взламывали не случайные школьники а люди у которых докторская степень в точных науках. Взломы были проведены как много-ступенчатый процесс с явно выраженной великолепной организационной работой и большой финансовой базой. Я в этом уверен, точно так же как и то что блестящую и сложнейшую операцию не может провести студент медицинской школы

Группа Sednit которая также известна как APT28, Fancy Bear, и Sofacy Pawn Storm, STRONTIUM, Tsar Team – это группа хакеров которая работает как минимум с 2004 года и главной целью которой является кража конфиденциальной информации у конкретных физический лиц. Доклад сосредотачиваеттся на методах, используемых группой, чтобы атаковать свои цели,и о том, кем являются эти цели.

• Sednit провела phishing-attacks более 1000 известных лиц, участвующих в политике Восточной Европы. В том числе некоторых украинских политических деятелей, представителей НАТО российских политических диссидентов.
• В Sednit операторы начинали свои phishing-attacks в будние дни и соответствовали режиму работы с 9 утра до 5 часов вечера по UTC + 3 (Московское время)
• Группа Sednit разработала свой собственный хакерский пакет(exploit kit) используя невероятно большое количество атак нулевого дня.
• Группа Sednit разработала особую первостадийную (malware) программу для того, чтобы обойти меры безопасности используемые скомпрометированными организациями

Среди их наиболее заметных целей считаются: Американский DNC, немецкий парламент и французская сеть телевидения TV5MONDE. Одной из отличительных особенностей группы Sednit является её способность регулярно !!!использовать уязвимость нулевого дня. В 2015 Sednit использовала не меньше 6!!! таких exploits . Этот факт говорит о многом. Либо был затрачен огромный персональный ресурс для разработки этих exploits, либо эти exploits были приобретены на чёрном рынке. Оценочная стоимость подобных exploits на чёрным рынке переваливает несколько миллионов долларов. В обоих вариантах – должна присутствовать огромная финансовая поддержка которую индивидуальные хакеры-одиночки не имеют.

Кроме того, группа Sednit разработала целые экосистемы программного обеспечения для выполнения шпионской деятельности. Разнообразие этой экосистемы весьма примечательно; она включает в себя несколько десятков пользовательских программ, причем многие из них технически продвинутые, такие как Xagent, Sedreco и модулярные “backdoor” программы.

Fake Phishing emails.

Sednit рассылает огромное количество phishing emails. Представьте вам приходит email из Гугл:

Example of phishing email sent to attempt to steal Gmail credentials. The hyperlink actually points to a domain used for phishing. Source: ESET whitepaper

Dear Customer,

Please be informed that your personal data has been found on Google Drive Service. For your privacy purposes we have temporary restricted access to the following page:

https://docs.google.com/document/d/0b2ey~ajdoNFdie9DK93kD=3nDKskn

We warn you about probability of your personal data unlawful using.

According to Google Privacy Policy we can’t restrict access to the page without reasons for more than 24 hours. Therefore please respond to this message to delete the page.

Google Monitoring Center

Но только не самом деле это письмо не из Гугл, а из Sednit. Если вы не очень разбираетесь в вопросе кибер-безопасности и кликаете на линк. Вас приводят на страницу точь в точь похожую на Гугл. С Гугловским логотипом, со всеми “bells and whistles” и вы никогда не догадаетесь, что эта страница на самом деле находится на сервере Sednit и к гуглу не имеет никакого отношения.

Fake Gmail login panel. Target’s name and email address have been redacted. Source: ESET whitepaper

Затем вас спрашивают ввести свой пароль снова, чтоб получить тот документ о котором говорили в email. Важным моментом здесь является то, что фальшивaя Логин панель отображает адрес электронной почты цели,чтобы усилить иллюзию что цель была “logged out” из реального Gmail account.

Если вы вводите свой пароль то вуаля – информация конечно же не идёт в Гугл, а хакеры уже заполучили ваш пароль. Ваша почта была успешнo взломана.

Ошибка операторов

Линк/URL который включён в почту от Cednit зачастую достаточно длинный и может показаться странным потенциальной жертве. Поэтому операторы использовали сервис Bitly https://bitly.com/

чтоб укоротить линк. Для этого операторы создали несколько accounts в Bitly и пользовали их для укорачивания многих phishing URL’s. Но абсолютно случайно операторы создали один из accounts в режиме “public” вместо “private”, что дало возможность всем увидеть список URL’s (линков) которые были укорочены используя этот account и точное время когда они были укороченны!!!!!

Интересно то, что каждый URL/линк который был укорочен включал в себя имя цели. Чтоб не уйти в технические дебри, просто скажу , что это было сделанно именно для того, чтоб на фейковой странице “Гугл” были заполнены email address жертвы и всё выглядело более кошерно.

Таким образом, этот список включал в себя около 4,400 URL’s/линков которые было укорочены за период с 16 Марта 2015 по 14 сентября 2015. Более того можно установить Timeline событий которые относились к этим phishing attacks. То есть Cednit занимался укорачиванием линков именно с понедельник по пятницу и опять же с 9 до 5 по московскому времени.

Здесь стоит сделать небольшое отступление. Критики версии о российских хакерах заявляют, что программисты не работают по чёткому регламенту с 9 до 5. Что программисты в чём-то творческие люди и любят работать ночами. Безусловно, это так. Но есть разница между программистами и операторами. Это полностью две разные категории людей и профессии. Операторы не создают программы а выполняют “механическую”/”машинальную” работу и в этом смысле их рабочие часы с 9 до 5 – абсолютно логичны.

Список целей Sednit

Посольства: Алжира, Бразилии, Колумбии, Джибут, Индии, Ирака, Северной Кореи, Киргизстана, Ливана, Пакистана, ЮАР, Туркменистана, ОАЭ, Узбекистана, Замбии.

Министерства Обороны: Аргентины, Бeнгладеша, Южной Кореи, Турции, Украины.

Физических лиц:

• Политических деятелей и начальства МВД Украины
• Руководителей НАТО
• Российских политических диссидентов
• “Шалтай Болтай”
• Организаций по правам человека в Чечне.
• журналистов в Восточной Европе.

Методы атаки хакерской группы Sednit

Помимо этого Sednit занималась распространением malware . В основном для этого было использовано два основных метода атаки. Первый достаточно популярный среди других хакеров: прислать письмо по электронной почте и надеяться, что жертва откроет приложение(attachment) к email. По большому счёту ничего удивительного и уникального в этом методе нет, во всяком случае на первый взгляд.

Vulnerabilities exploited with targeted phishing attachments. Source: ESET whitepaper

Если капнуть немого поглубже, то картина становится интересней. Sednit использовала бреши (vulnerabilities) данных программ: 3 vulnerabilities of Microsoft Office, 1 Microsoft Word, 1 Microsoft Excel, 1 Adobe Acrobat Reader, 1 Adobe Flash Player. При этом 2 из них были именно атаками нулевого дня “0-day exploits” . Повторюсь: пользование “0-day exploits” в таком количестве говорит о том, что это не случайные хакеры, а достаточно серьёзная контора.

Привожу пример подобной атаки группы Sednit. В мае 2016 года, цель группы Sednit в Украине получает следующий email:

Targeted phishing email sent in May 2016. Source: ESET whitepaper

Subject: Обострение отношений России и Евросоюза

Письмо якобы от Василия Стасюка из всеукраинского академического союза.

Attachment: Putin_is_being_pushed_to_prepare_forwar.rtf

Если цель открывает приложение то два файла (.dll) заражают систему пользователя. Первый из этих файлов активизируется каждый раз когда открывается программа Microsoft Word и загружает/активизирует второй файл, который является ключевой mailware программой для дальнейшей утилизации задач Sednit.

Второй метод атаки более изощрённый. Сначала Sednit использовала так называемую “watering hole attack” когда несколько сайтов, принадлежащих крупным финансовым учреждением в Польше были взломаны и были использованы для автоматического перенаправления посетителей этих сайтов на страницы где Sendit malware был загружён и системы пользователей были заражены. Но затем был использован метод атаки через phishing emails.

Как это работает ? Вам приходит email. Выглядит как будто он приходит скажем от издания Stratfor которая предоставляет регулярные отчёты о геополитике. В email приводится линк на статью тематика которой не сходит с новостных лент. Например война в Сирии. Всё выглядит очень кошерно, но линк/URL не на статью в Stratfor, а на сервер Sednit-а, посетив который ваш компьютер заражается malware. Линки которые фигурируют в письме очень похожи на настоящие.

Examples of Sedkit lure news articles. Source: ESET whitepaper

Что происходит когда жертва нажала на линк ? Вы попадаете на сервер Sednit, где первым делом считывается информация о вашем компьютере

– Временная зона

– Какой браузер и какая версия

– Какие плагины были установлены на вашем браузере

и другие..

Причём Sednit принимает меры, чтоб защитить себя от контр-атак и чтоб их действия не могли быть вычислены специалистами в сфере кибер-безопасности и чтоб не узнали какие exploits они используют. Опять же, всё это говорит о высоком техническом уровне и ставит под сомнение “случайного хакера любителя”.

Затем, когда информация о вашей системе была считана и автоматически проанализирована, вам направляется именно тот exploit который пройдёт защиту вашей системы и сможет заразить ваш компьютер (malware). И снова Sednit использовала по меньшей мере 3 !!!! 0-day exploits. Специалисты ESET проанализировав действия Sednit и как те смогли эксплуатировать бреши в программах, пришли к следующему выводу:

“Мы считаем, что это хороший показатель технических возможностей, имеющихся в группе Sednit…. Он также показывает,что эти разработчики(Sednit) следят за самыми последними техническими и научными публикациями в сфере кибер-безопасности.”

Затем, загружённый на ваш компьютер malware которое специалисты ESET назвали Seduploader занимается тем, что подключается через интернет (естественно) с Command and Control серверами хакерской группы Sednit. И Seduploader для достижения этой цели способен обойти всевозможные меры безопасности. От себя хочется добавить, что методики и технологии которые стоят за достижением этой цели настолько круты, что когда я смотрел на куски кода которые приводятся в докладе ESET то честно скажу – это высший пилотаж. В результате, ваш компьютер без вашего ведома имеет постоянную связь с сетью хакеров . И есть способность загружать дополнительные програмы для преследуемых целей. Здесь я забегаю немного вперёд об этом в следующей части моих заметок.

И наконец последний шаг: вас автоматически перенаправляют на НАСТОЯЩИЙ вебсайт на линк которого вы якобы нажали и поэтому вы даже не смогли заподозрить что на самом деле вы “побывали в гостях” у русских хакеров.

3 программы которые создала и использовала хакерская группа Sednit:

• Sedreco
• Xagent
• Xtunnel

1. Чтобы максимально увеличить вероятность избежания обнаружения Sednit разработала два различных backdoors что позволял долгосрочный мониторинг в шпионских целях: Sedreco и Xagent. Xagent обменивался данными с Седнитовским Command and Control сервером напрямую и с помощью пользования клиентом электронной почты; задействовав собственно-выработанный протокол.
2. Sednit разработала программу Xtunnel, которую использовали для эффективной трансформации взломанного компьютера в сетевой центр (hub) чтобы связаться с другими системами которые обычно недостижимы из интернета и являются частью private network.
3. Код Xagent-а также конфигурационные файлы для контакта с Седнитовским Command and Control сервером содержат следы сильно усиливающие гипотезу, что язык на котором говорят члены группы Sednit именно русский.

Теперь хочется сделать следующее замечание. Есть такое понятие как “digital trail” – цифровой след. След который остаётся позади вас. Иногда этот след остаётся намеренно, иногда нет, но профессионалы всегда способны его разглядеть. Этот след как крошки оставляемые Гензель и Гретель, но только лесные птицы эти крошки съесть не могут.

Вот и программисты группы Седнит оставили достаточное количество крошек, свой цифровой след, проанализируя который можно с уверенностью сделать выводы о том откуда появилась хакерская группа.

Примеры цифрого следа оставленного программистами Седнит:

Source: ESET whitepaper

1. Аналитики ESET смогли проанализировать код на котором была разработана Седнитовская программа Xagent. Программисты Sednit в большинстве случаев оставляли в коде комментарии(практика программирования) на ломанном английском, но существуют достаточно много мест когда комментарии программистов были на русском. Каким образом специалисты ESET заполучили код хакерской группы ESET, whitepaper не указывает. Комментарии которые начинаются с “Translates to” – это заметки ESET специалистов

Надеюсь обьяснять не надо, что 400-паундовый хакер в Нью Джерси или более стройный в Китае не будет оставлять комментарии в коде на великом, могучем русском языке ?

2. Более того, ESET смогли изучить лог-файлы, содержащиеся в папках backdoor программ и базируясь на этих данных смогли установить что сам Command and Control сервер, с которым эти программы поддерживали связь был настроен/сконфигурирован на русском языке.
3. 

   Source: ESET whitepaper

   В программе Xtunnel разработчики забыли удалить Path(путь к файлам) базы данных (PDB) которые содержали слова на русском языке:H:\last version 23.04\UNvisible crypt version XAPS select – копия\XAPS_OBJECTIVE\Release\XAPS_OBJECTIVE.pdb C:\Users\John\Documents\Новая папка\XAPS_OBJECTIVE\Release\XAPS_OBJECTIVE.pdb

такие как “Новая папк” или “копия”.

4. HTTP request (протокол коммуникации в вэб-пространстве) header закодированный в Xtunnel имел такой параметр: “Аccept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4”, что говорит о том, что код был скопирован с компьютера на котором русский язык стоит как default language.

ESET сделала следующие выводы, что группа Седнит занималась:

1.  Считыванием как административных так и паролей почтовых клиентов жертвы.
2. Созданием/использованием пользовательского инструмента, чтобы делать регулярные скриншоты компьютера жертвы
3. Удаление, считывание различных файлов на компьютере жертвы
4. Регистрация всех нажатых клавиш, то есть тотальный мониторинг компьютера.

Выводы

Рассматриваем следующие факты:

1. Хакерская группа в коде своих программ используемых на компьютере жертвы оставляет комментарии на русском языке.
2. Хакерская группа в коде своих программ оставляет путь к файлам (path) в котором частично присутствует кириллица
3. Главный мозговой центр коммуникации с взломанными компьютерами, используемый хакерской группой, был установлен/сконфигурирован на русском языке
4. Часть используемого протокола используемого для коммуникации была скопированного с компьютера на котором русский язык стоит как default.

Mожно смело сказать, что группа Sednit -русскоговорящая.

Рассматриваем следующие факты:

1. Анализируя методику и пути взлома хакерской группы можно с уверенностью сказать, что это технически прекрасно образованные профессионалы высшего уровня.
2. В виду количества используемых 0-day exploits можно с уверенностью сказать, что группа имеет большую финансовую базу, недоступную обычным хакерам
3. Группа работает по рабочему режиму 9-5 по Московскому времени

Наиболее вероятный вывод из этого – то, что Sednit это контора, которая находится на территории России и которая находится под покровительством юридического/физического лица с большой финансовой базой

Рассматриваем факт что жертвы группы Sednit исключительно являются оппонентами России на геополитической арене и из выше написанного – приходим к выводу, что “юридические/физические” лица которые покровительствует хакерской группе это российские спецслужбы.

Ещё раз приведу цитату из книги Майкла Хэйдэна отставного генерала и руководителя NSA и CIA:

“cyber…It’s a domain, an operational environment, and— just like all the other domains— it has its own characteristics. This one is characterized by great speed and great maneuverability, so it favors the offense. It is inherently global. It is inherently strategic.”

К сожалению на мой взгляд можно констатировать, что на данный момент США проигрывают cyber-war России. Cyber domain это один из плоскостей гибридной войны которая Россия ведёт против Америки. К огромному моему сожалению Американская внутри-партийная борьба по какой-то причине стала большим приоритетом для большинства политиков и обычных граждан чем национальные интересы страны.

Успеют ли наши руководители открыть глаза и опомниться во время или мы проиграем неоконченную Холодную Войну России – время покажет.

[1] Hayden, Michael V.. Playing to the Edge: American Intelligence in the Age of Terror (p. 128). Penguin Publishing Group. Kindle Edition.