Vlade na meti nove sajber špijunske grupe Sowbug

Najviše interesovanja Sowbug grupa pokazuje za pitanja koja se tiču spoljne politike.

Vlade na meti nove sajber špijunske grupe Sowbug

Symantec je nedavno otkrio novu špijunsko-hakersku grupu Sowbug, koja koristi malver da se infiltrira u državne organizacije i da ukrade osetljive podatke.

Grupa je fokusirana na špijunažu državnih struktura iz zemalja Južne Amerike i jugoistočne Azije, pre svega na ministarstva spoljnih poslova i diplomatske strukture. Za sada je poznato da su pogođene državne organizacije u Argentini, Brazilu, Ekvadoru, Peruu, Bruneju i Maleziji.

Iako se još ne zna odakle je Sowbug grupa, niti ko stoji iza nje, vrlo je verovatno da se radi o operaciji koju podržava neka država. Sowbug grupa očigledno ima na raspolaganju dosta resursa, sposobna je da se infiltrira na više mesta istovremeno, a najčešće je aktivna van radnog vremena datih organizacija kako bi ostala neprimećena.

Grupa koristi potpuno novi, kastomizovani Felismus malver za klasičnu špijunsku aktivnost, odnosno krađu dokumenata iz organizacija u koje se infiltrira.

Symantec je prvi put primetio korišćenje Felismus malvera u martu ove godine u napadama u jugoistočnoj Aziji. Međutim, tek sada je ustanovljena povezanost sa Sowbug grupom. Dodatnom analizom Symantec je povezao i neke ranije kampanje sa pomenutom grupom, tako da imamo dokaze da je grupa aktivna barem od početka 2015. godine.

Mete napada su precizno ciljane

Iz napada na ministarstvo spoljnih poslova jedne južno-američke države, koji se dogodio 2015., možemo videti da grupa cilja specifične informacije. Prvi zabeleženi upad u sistem desio se 6. maja 2015. godine, a pojačana aktivnost beleži se 12. maja iste godine. Meta napadača je bilo odeljenje ministarstva zaduženo za odnose sa azijsko-pacifičkim regionom. Napadači su pokušali da ukradu sva Word dokumenta sa servera koja su modifikovana od 11. maja 2015. godine pa na dalje tako što su ih najpre spakovali u RAR arhivu.

Sat vremena kasnije ponovo su napali, ali ovoga puta pokušali su da ukradu sva Word dokumenta modifikovana od 7. maja 2015. pa na dalje (dokumenta iz dodatna 4 dana). Pretpostavlja se da su drugi napad izvršili zbog toga što u prvobitno ukradenim dokumentima nisu našli to što su tražili ili su pronašli nešto što ih je podstaklo da traže još informacija.

Ovde nije bio kraj aktivnostima napadača. Sledeći potez je bio izlistavanje svih zajedničkih diskova kojima se pristupa sa udaljene lokacije i pokušaj da se izvuku Word dokumenta sa diskova kojima targetirano odeljenje ministarstva ima pristup. Ovde su ciljali dokumenta modifikovana 9. maja pa na dalje.

Zatim su napadači proširili interesovanje, jer su prelistavali sadržaj direktorijuma koji pripada drugom odeljenju ministarstva spoljnih poslova zaduženom za odnose sa međunarodnim organizacijama. Pored ovoga, ostavili su dva nepoznata payloada na datom serveru. Napadači su ukupno bili prisutni u mreži žrtve oko 4 meseca – od maja do septembra 2015. godine.

Showbug grafika

Izvor slike Symantec Connect blog

Neprimetno prisustvo u mreži

Sowbug održava dugoročno prisustvo u mreži ciljane organizacije, nekada i do 6 meseci. Jedna od taktika pomoću kojih ostaju neprimećeni je „maskiranje“ u softverske pakete koji se uobičajeno koriste, poput Windowsa, Adobe Readera itd. Sowbug ne pokušava da kompromituje softver, već svojim alatima daje slična imena kao dati softver i smešta ih u foldere koji liče na one koje koristi legitimni softver. Na taj način se napadači „kriju na otvorenom“ i mala je verovatnoća da će nešto u procesima izazvati sumnju.

Prvi korak: U septembru 2016. godine, napadači su se infiltrirali u organizaciju iz Azije gde su ubacili Felismus backdoor na jedan od računara preko fajla sa imenom "adobecms.exe" u CSIDL_WINDOWS\debug.

Drugi korak: Zatim su instalirali dodatne komponente i alate u CSIDL_APPDATA\microsoft\security.

Treći korak: Nakon toga, započeli su izviđačku aktivnost na prvobitno zaraženom računaru preko cmd, prikupljajući informacije vezane za sistem – OS verzija, konfiguracija hardvera i informacije o mreži. Zatim su pokušali da identifikuju sve instalirane aplikacije na računaru.

Četvrti korak: Nakon 4 dana, u Adobe direktorijumu instalirali su pod-direktorijum sa nazivom common gde su ponovo ubacili (verovatno ažuriran) backdoor fajl adobecms.

Napadači su verovatno uspešno obavili zadatak pošto je utvrđeno da je drugi računar koji je bio meta takođe kompromitovan. Kasnije su na prvobitno kompromitovanom računaru instalirali fajl fb kojim su kopirali Felismus na ostale računare u mreži. Dodatna mera koju su napadači preduzeli kako bi ostali neopaženi je to što su „operisali“ van radnog vremena date organizacije. Ukupno su bili prisutni u mreži date organizacije oko 6 meseci – od septembra 2016. do marta 2017. godine.

Još uvek nije poznato na koji način se Sowbug grupa inicijalno infiltrira u mrežu. U nekim slučajevima, ne postoje tragovi koji upućuju na to kako je Felismus dospeo u kompromitovane računare što verovatno znači da je došao preko drugih kompromitovanih računara u mreži. U nekim drugim slučajevima, postoje dokazi da je Felismus instaliran pomoću Starloader alata (Trojan.Starloader). Starloader instalira i dekriptuje podatke sa fajla pod nazivom Stars.jpg i isporučuje alate koji kradu kredencijale, kao i keyloggere.

Ne zna se ni kako je Starloader dospeo na kompromitovani računar. Moguće da se to desilo preko lažnog ažuriranja, jer su napadači koristili Starloader fajl i pod sledećim imenima: AdobeUpdate, AcrobatUpdate, INTELUPDATE itd.

Globalna pretnja

U prošlosti su najčešće mete sajber špijunskih grupa bili SAD, Evropa i Azija. Nije zabeleženo puno sličnih slučajeva u zemljama Južne Amerike. Sada vidimo da se situacija menja. Broj sajber špijunskih aktivnosti stalno raste i čini se da nijedan deo sveta nije pošteđen.

MD5 Detekcija
514f85ebb05cad9e004eee89dde2ed07 Backdoor.Felismus
00d356a7cf9f67dd5bb8b2a88e289bc8 Backdoor.Felismus
c1f65ddabcc1f23d9ba1600789eb581b Backdoor.Felismus
967d60c417d70a02030938a2ee8a0b74 Backdoor.Felismus
MD5 Detekcija
4984e9e1a5d595c079cc490a22d67490 Trojan.Starloader
MD5 Detekcija
e4e1c98feac9356dbfcac1d8c362ab22 Hacktool.Mimikatz

Instalacioni folder:

  • %WINDOWS%\debug
  • %APPDATA%\microsoft\security

C&C infrastruktura:

  • nasomember[DOT]com
  • cosecman[DOT]com
  • unifoxs[DOT]com