Продолжаем наши расследования деятельности крупных хакерских групп, они же
APT.
В прошлый
раз мы обсуждали индийскую
APT-C-09 aka
Patchwork. А сегодня рассмотрим ее конкретные операции.
В декабре 2015 года
Patchwork развернула большую кампанию, которая, спустя почти полгода, попала в поле зрения сразу нескольких инфосек вендоров –
Forcepoint,
Cymmetria,
Касперский,
CrowdStrike. Каждый дал ей свое название, но мы для определенности возьмем
MONSOON.
Основным наблюдаемым приемом в процессе
MONSOON был целевой фишинг, хотя встречались и "атаки на водопой". Масштаб был внушительным – более 110 стран и 6000 конкретных целей.
В процессе кампании
APT применяла множество инструментов, взятых с различных хакерских ресурсов, к примеру свободно распространяемые бэкдоры. Вместе с тем, были и уникальные разработки – такие как
BADNEWS и
TINYTYPHON (которая, впрочем, была переработана из червя MyDoom).
Вообще, в ходе этой кампании
APT-C-09 демонстрировали уникальный сплав изобретательности и раздолбайства. Что, в принципе, для индийцев неудивительно – наверняка подготовку к атакам они разбавляли танцами.
Так, применяя достаточно интересные приемы по скрытию своих управляющих центров они, в то же время, ухитрились запалить индийские статические IP-адреса в процессе входа на эти самые управляющие центры.
Основной приманкой служили документы на китайскую государственную тематику – фейковые военные отчеты, дипломатические письма, обзоры вопросов безопасности и пр. Также использовались поддельные новостные ресурсы про
Китай и специально созданные аккаунты в крупных социальных сетях. Кстати говоря, последние были зарегистрированы в декабре 2014 года, что говорит о том, что позиции для
MONSOON готовились заблаговременно.
Анализируя профиль потенциальных жертв
MONSOON и использовавшиеся приманки можно утверждать, что с большой долей вероятности целью киберкампании было добывание любой информации, связанной с внешнеполиической деятельностью
Китая и его взаимоотношениями с другими странами.
Основанием для старта киберкампании могло послужить подписание в 2015 году соглашения между
Поднебесной и
Пакистаном по созданию китайско-пакистанского экономического коридора, что грозило серьезно изменить баланс сил в регионе не в пользу
Дели.
Вместе с тем, в ходе обострения в сентябре 2016 года отношений между
Индией и
Пакистаном, возникшего в результате нападения пропакистанских боевиков на лагерь индийской армии в штате Джамму и Кашмир, китайское руководство поддержало
Индию, заявив, что
Китай решительно отвергает любые проявления терроризма. Волшебным образом это заявление совпало со спадом активности
MONSOON.
Некоторые инфосек эксперты в ходе расследования
MONSOON высказывали предположение, что индийская хакерская группа, стоящая за атакой, ответственна также за кибероперацию
Hangover, которая была выявлена в 2013 году.
Hangover, по некоторым данным, продолжалась около 3 лет и была направлена на госучреждения
Пакистана,
США,
Ирана и, частично,
Китая, а также, неожиданно, на норвежского сотового оператора
Telenor.
Однако, делать однозначные выводы в данном случае сложно, между двумя атаками были и сходства и серьезные различия. Наши "любимые"
FireEye так вообще утверждали, что за
Hangover стоит Китай. Но у них всегда виноват либо Китай, либо Иран, либо Россия, либо малыш Ким.
Еще одной интересной активностью
APT-C-09, коррелирующей до недель с геополитическими событиями вокруг
Индии, стала направленная на
Пакистан фишинговая кампания, которая произошла летом 2019 года.
Как известно, в этот момент произошло резкое обострение обстановки вокруг штата Джамму и Кашмир после отмены его особого статуса властями
Индии. Команда
RedDrip китайского инфосек вендора
QiAnXin получила данные о целевом фишинге, использующем тему Кашмира в качестве приманки. Ряд признаков указывал на
APT-C-09 как на источник атаки.
Впрочем, пакистанцы тоже активно работали против Индии в киберпространстве. И в одном из последующих постов, посвященных APT, мы обязательно коснемся наших задорных друзей из Исламабада.
#APT #APTC09 #Patchwork
