Koń trojański światowej klasy - historia infekcji

Jednym z najbardziej skomplikowanych narzędzi służących do kradzieży danych był botnet, tworzony z użyciem koni trojańskich z rodziny Turla. Oprogramowanie to napisali eksperci światowej klasy, a posłużyło ono do ataków na Pentagon oraz instytucje rządowe w Europie.

Pierwsze doniesienia o skomplikowanych atakach kierowanych przeciw Ministerstwu Obrony USA zanotowano w 2008r. W późniejszym czasie specjaliści do spraw bezpieczeństwa odkryli, że atakowano również inne cele, poza Ameryką. Samo złośliwe oprogramowanie było stopniowo ulepszane, dlatego można mówić o całej rodzinie koni trojańskich, nazwanych Turla (nazwa pochodzi od ultra3 – domeny wykrytej przez specjalistów w Microsofcie). Kolejne ataki były tak spektakularne, że zyskały własne nazwy: Uroburos, Epic, Carbon oraz Snake. Celem były instytucje rządowe w wielu krajach Europy Zachodniej oraz w USA. Dokładne badania zaczęto w 2011 r., a program pomocy instytucjom narażonym na ataki rozpoczęto na większą skalę dopiero rok temu. W 2014 r. firma G-Data opublikowała informacje o bardzo zaawansowanym koniu trojańskim, który zainfekował komputery w firmie BAE systems. Publikowane od tego czasu informacje wskazują, że mamy do czynienia z oprogramowaniem klasy militarnej napisanym przez ekspertów i wykorzystywanym do całej serii ataków. Wskazówki wewnątrz kodu dowodzą, że złośliwe oprogramowanie zostało napisane przez rosyjskojęzycznych programistów. Mechanizm ataku początkowo wykorzystywał phishing, ale później napastnicy kreatywnie rozwinęli znaną technikę drive-by. Był to atak kierowany, w którym infekowano jedynie komputery z wybranych instytucji.

Jak zaatakowano Ministerstwo Obrony USA

Atak rozpoczął się w 2008r. prawdopodobnie od prostej sztuczki socjotechnicznej, polegającej na pozostawieniu w jednej z baz na Bliskim Wschodzie pendrive'a zawierającego złośliwe oprogramowanie. Komputer należący do Ministerstwa Obrony USA został zarażony i w ten sposób trojan przeniósł się razem z laptopem do sieci wewnętrznej. W kolejnym kroku napastnicy wykorzystali obecność złośliwego oprogramowania do pozyskania kontroli nad wieloma komputerami. Proces usuwania konia trojańskiego nazwanego Agent.BTZ z wojskowych sieci trwał ponad rok. Rok później podobne infekcje ujawniono w różnych innych miejscach. W odróżnieniu od trojanów bankowych takich jak wychodzący właśnie z użycia Limbo oraz coraz popularniejszy w tym czasie ZeuS, Agent.BTZ zwany również Agent.AWF był dość mało znanym narzędziem. Charakteryzuje się on jednak bardzo ciekawym sposobem omijania zabezpieczeń systemów Microsoft Windows, wykorzystując przy tym autentyczny podpisany sterownik, który zawiera lukę w bezpieczeństwie. Metoda ta jest stosowana do dziś, choć sam koń trojański ewoluował i jest obecnie jednym z trudniejszych do wykrycia narzędzi cyberprzestępczych.

Atak u wodopoju

W odróżnieniu od pospolitych koni trojańskich, mających na celu kradzież pieniędzy użytkowników bankowości elektronicznej, ataki związane z omawianym oprogramowaniem były kierowane bardzo precyzyjnie. Aby osiągnąć swój cel, napastnicy wykorzystali technologię odsiewania niepożądanych stacji, nazywaną atakiem u wodopoju. Na przejętej witrynie internetowej, którą odwiedzali pracownicy danej instytucji umieszczano niewidoczną ramkę IFRAME, która przekierowywała ruch na inny serwer, z którego hostowano złośliwe oprogramowanie. Na docelowej stronie sprawdzano adres IP i porównywano z listą adresów właściwych dla podmiotu, który był celem ataku. Jeśli adres się zgadzał – strona wysyłała eksploit oraz instalator konia trojańskiego. Od września 2012 r. co najmniej 84 strony WWW były przejęte po to, by infekować komputery tym koniem trojańskim.

Zobacz również:

Wbrew temu, co początkowo sądzono, do większości ataków nie była potrzebna podatność dnia zerowego – wystarczyły powszechnie znane luki (między innymi popularna Java JRE CVE-2012-1723, a także luki w oprogramowaniu firmy Adobe, takie jak CVE-2013-3346), które w tej firmie nie zostały załatane. Do części ataków napastnicy użyli popularnej sztuczki socjotechnicznej i zachęcali do pobrania fałszywej aktualizacji wtyczki Adobe Flash. W kilku przypadkach napastnicy wykorzystali fakt, że komputery poddostawców były znacznie gorzej chronione niż te, znajdujące się w docelowej instytucji.

Dwa etapy infekcji

Serwery zarządzania botnetem obecne w jednej domenie są łatwym celem, gdyż ataki spear phishing można szybko analizować a domeny – przejąć i wyłączyć. Z drugiej strony napastnicy nie potrzebowali ciągłej dostępności łatwo dostępnej sieci zarządzania. Aby uwolnić się od ograniczeń, zastosowali dwuetapowy proces infekcji, wprowadzając konia trojańskiego pierwszego rzutu nazywanego Wipbot, Carbon, Pfinet, Tavdig lub Epic, który następnie zarażał wybrane komputery docelowym trojanem Turla, zarządzanym w inny sposób.

Jak zaraża Turla

Schemat infekcji, źródło - Symantec

Po przejęciu kontroli nad stacją roboczą, trojan pierwszego etapu pobierał dalsze polecenia, wysyłał informacje o zarażonym komputerze, by włamywacze upewnili się, że jest to maszyna z instytucji, która ich interesuje. Jeśli tak było, Wipbot pobierał docelowe złośliwe oprogramowanie i je uruchamiał. Potem za pomocą bardzo ciekawej techniki napastnikom udawało się uzyskać uprawnienia na poziomie jądra systemu. Po przejęciu kontroli, trojan Turla nawiązywał komunikację z ośrodkiem dowodzenia botnetem. Napastnicy na późniejszym etapie dokonywali rozpoznań infrastruktury i poziomych ataków, aż do przejęcia kontroli nad całą siecią. Przystępowali wówczas do długotrwałej kradzieży informacji. W ten sposób udało się ukraść dużo danych, oszacowanie skutków ataku będzie trudne, gdyż niektóre sieci były kontrolowane przez lata.


TOP 200