Positive Technologies
Новости

Исследование Positive Technologies: кибергруппировка Winnti атаковала разработчиков ПО в России

8 сентября 2020

Экспертный центр безопасности компании Positive Technologies (PT Expert Security Center, PT ESC) выявил новую атаку группировки Winnti, а также изучил ее новый инструментарий и инфраструктуру. К сегодняшнему дню уже заражены несколько десятков ПК по всему миру, включая Россию, США, Японию, Южную Корею, Германию, Монголию, Беларусь, Индию, Бразилию т.д. Некоторые скомпрометированные организации специалистам PT Expert Security Center удалось идентифицировать, все они получили соответствующие уведомления об имеющихся рисках по линии национальных CERT.

В рамках исследования угроз информационной безопасности (Threat Intelligence), специалисты PT Eхреrt Security Center обнаружили бэкдор xDll¹, не известный ранее, а также ряд других образцов вредоносного ПО ― как уже известного, так и нового. Детальный анализ вредоносного ПО, данные о сетевой инфраструктуре и даже информация о жертвах позволили соотнести выявленный бэкдор с активностью группировки Winnti (АРТ41, BARIUM и AXIOM), происходящей из Китая и атакующей организации по всему миру по меньшей мере с 2012 года. Ключевые ее интересы ― шпионаж и получение финансовой выгоды. За все время активности этой группировки ее жертвами становились компании авиационно-космической промышленности, энергетики, фармацевтической, финансовой и телекоммуникационной отраслей и даже игровой индустрии.

Изученная исследователями PT Expert Security Center новая инфраструктура группы Winnti стремительно разрастается: выявлено более 150 IP-адресов контрольных серверов и не менее 147 доменов, связанных с этими адресами. Около половины серверов группировки находятся в Гонконге. IP-адреса распределены по 45 уникальным провайдерам, при этом более половины серверов сконцентрированы на IP-адресах шести провайдеров, пять из которых находятся в Азии — в Гонконге, Китае, Южной Корее.

При этом прямо во время исследования инфраструктуры специалисты Positive Technologies наблюдали, как злоумышленники многократно переводили домены с одного IP-адреса на другой. Все это свидетельствует об активной фазе атаки.

На сегодняшний день под управлением группировки уже более 50 компьютеров² по всему миру, карта часовых поясов атакованных устройств совпадает с традиционной географией интересов группировки.

Специалисты PT Expert Security Center идентифицировали часть пострадавших организаций: среди них в числе прочих оказалось пять разработчиков ПО для финансовых организаций из Германии и России. Анализ используемого злоумышленниками инструментария, техник и тактик позволяет утверждать, что в ряде случаев речь идет о первых этапах атаки типа supply chain 3. В частности, атакованные производители специфического ПО, являющиеся доверенным поставщиком ПО для целого ряда компаний, с большой долей вероятности будут использованы как плацдарм для развития атаки. Таким образом в России в зоне повышенного риска сейчас находится ряд организаций кредитно-финансовой отрасли (в том числе вошедших в топ-100 самых надежных банков по версии Forbes в 2020 году) и инвестиционных компаний, так как они в наибольшей степени соответствуют традиционным интересам группировки Winnti.

Positive Technologies участвует в обмене данными о компьютерных инцидентах в рамках системы ГосСОПКА, координатором работы которой выступает Национальный координационный центр по компьютерным инцидентам (НКЦКИ, CERT.GOV.RU). В рамках этой инициативы все скомпрометированные компании получили соответствующие уведомления.

«Как показывает практика, все большую популярность среди АРТ-группировок приобретают атаки на организации через менее защищенных партнеров, поставщиков, клиентов и пр. Фишинг такого типа входит сегодня в топ-3 наиболее эффективных и часто используемых методов атаки, ― поясняет Николай Мурашов, заместитель директора НКЦКИ. ― Нередко атакам подвергаются и IT-компании: примерно треть всех атак АРТ-группировок на территории России в последние годы приходится на организации, занимающиеся разработкой ПО и системной интеграцией. Эти атаки ― supply chain и trusted relationship 4 ― часто оказываются частями сложных атак на промышленные, государственные организации или банки».

«Атаки типа supply chain весьма трудны в реализации, но при этом остаются наиболее опасными, ― отмечает Денис Кувшинов, ведущий специалист отдела исследования угроз ИБ Positive Technologies. ― Например, при компрометации разработчика ПО злоумышленники могут встроить в обновление ПО код, предназначенный для сбора информации и отправки ее на управляющий сервер злоумышленников. И только по итогам такой разведки, если скомпрометированная организация заинтересует злоумышленников, на уже зараженную машину будет загружен полноценный бэкдор для исследования сети и, скажем, кражи необходимых данных».

Во время исследования эксперты Positive Technologies также выявили пересечения новой инфраструктуры Winnti с инфраструктурой других групп, что может говорить о причастности Winnti к другим атакам, существующие данные об организаторах и участниках которых оказались не верны.

«В частности мы обнаружили бэкдор ShadowPad, который используется группой Winnti, ― отмечает Денис Кувшинов, ведущий специалист отдела исследования угроз ИБ Positive Technologies. ― При изучении его инфраструктуры выявились связанные домены, ранее использовавшиеся при атаках на организации в России, Белоруссии, Южной Корее и Японии, которые, как тогда считалось, проводили группы ТА459 5 и Tonto team 6».

Также выявлены инфраструктурные пересечения с группировкой Nettraveller 7. По словам экспертов Positive Technologies в этом случае не исключен факт переиспользования инфраструктуры другой группировки для маскировки своей активности (своего рода аренда инфраструктуры). Однако область атак, их географическая и отраслевая привязка в значительной мере пересекаются с областью интересов группировки Winnti, поэтому на основании косвенных пересечений можно предположить, что за всеми этими атаками на самом деле стоит одна и та же группа киберпреступников.

Команда PT Expert Security Center продолжает отслеживать активность группы Winnti и не прогнозирует снижения ее активности в ближайшие месяцы. Для сокращения потенциального окна возможностей злоумышленников необходимо своевременно проверить инфраструктуру на наличие специфических индикаторов компрометации, а в случае из выявления ― оперативно провести полноценное расследование. Также эксперты обращают внимание на то, что для эффективного противодействия атакам типа supply chain в первую очередь необходимо инвентаризировать всех партнеров и поставщиков услуг, ПО, оборудования, которыми пользуется компания. Выявить в цепочке поставок возможные «слепые зоны», которыми может воспользоваться злоумышленник, определить, есть ли у сотрудников компаний-партнеров доступ в сеть, какое ПО установлено на ПК собственных сотрудников. Это, вкупе с использованием правильно настроенных систем защиты, поможет при необходимости изолировать потенциально скомпрометированные узлы и эффективно отреагировать на инцидент. Так, к примеру, внезапная аномальная активность внутри сети организации (особенно при условии компрометации хотя бы одного из партнеров или поставщиков) может являться признаком успешной атаки. Группировка Winnti преимущественно вела свою активность (соединение с контрольным сервером и доставка новых файлов на скомпрометированные узлы) вне стандартных рабочих часов. Такого рода аномалии эффективно выявляются системами глубокого анализа трафика (NTA).

 

  1. Бэкдор xDll был назван специалистами PT Expert Security Center, так как такое же наименование использовалось злоумышленниками в оригинальном коде.
  2. Соотнести количество зараженных устройств и атакованных организаций не представляется возможным, однако в тех случаях, когда эксперты смогли идентифицировать конкретные организации соотношение 1:1 (один ПК = 1 организация).
  3. Атака supply chain ― атака на целевую организацию через промежуточное звено ― другую организацию, являющуюся доверенной для целевой.
  4. Trusted relationship атака, в ходе которой злоумышленники используют расширенные права доверенной компании (например, подрядчика, партнера, интегратора) для доступа к инфраструктуре жертвы.
  5. TA459 APT известна с 2013 года и использует весьма обширный арсенал вредоносного ПО, в том числе PlugX, NetTraveler, Saker, Netbot, DarkStRat и ZeroT. TA459 APT специализируется на атаках на организации в РФ и соседних странах.
  6. Атаки группы Tonto team сконцентрированы преимущественно на трех странах — России, Южной Корее, Японии. Группа атакует правительственные организации, военные структуры, финансовые и промышленные предприятия.
  7. NetTraveler APT была нацелена на страны СНГ и Европы, данные атаки в 2016 году и были описаны исследователями из компании Proofpoint