В классификации APT сам Джигурда ногу сломит. Поскольку точно подтвержденных данных в наличие у инфосек вендоров немного, то при рассмотрении крупных хакерских групп, используемых ими инструментов и осуществляемых ими операций многие отпускают свою фантазию на волю.
В качестве примера – очевидно, что каждая хакерская группа не будет использовать исключительно эксклюзивный инструментарий. Нет, безусловно такой присутствует и в достаточном количестве. Но очень часто бывают и пересечения, часть вредоносов свободно распространяется или продается на хакерских форумах, часть эксплойтов циркулирует в приватах и реализуется за большие деньги и т.д. и т.п.
Тем не менее, периодически встречаются умозаключения экспертов типа «группа X использует вредонос Y, и группа Z использует вредонос Y, значит X=Z». А исходники вредоноса Y при этом валяются на GitHub. Мы сейчас не шутим, это реальный случай.
Другим интересным моментом является тот факт, что, как правило, инфосек вендоры не делятся промежуточными результатами своих расследований. А расследования эти долгие, не один месяц. Вот и получается, что когда все публикуют отчеты, то одна и та же APT или ее кибероперация внезапно становится и Лазурной Пандой, и Кристальным Мустангом, да еще и какой-нибудь Медузой в придачу.
Из-за всего этого и создается существенная путаница в названиях APT и приписываемых им деяниях.
Поэтому же существует и смешение между двумя группами – Winnti и APT41. И мы попробуем разобраться, в чем же дело.
Начнем с APT41 aka Double Dragon.
Но сначала дадим определение одному из ключевых терминов: TTP (Tactics, Techniques and Procedures) – подход к анализу деятельности APT, используемый также для их профилирования. Сравнивая различные TTPs, используемые при кибератаке, можно с большей или меньшей степенью достоверностью привязать ее к той или иной APT.
Активность APT41 отмечается с 2012 года. Основная (но далеко не единственная) используемая технология – целевой фишинг. Предполагается, что группа является коммерческой, но в то же время активно сотрудничает с китайскими государственными органами, проводя кибероперации в их интересах. Совмещение коммерческой и государственной составляющих, которое, как мы понимаем, в КНР не приветствуется ни в одной из сфер жизни, выделяет Double Dragon среди других китайских акторов.
Кампании APT41 были ориентированы на отрасли здравоохранения, телекоммуникаций и высоких технологий, медиа и пр., а также, само собой, государственные и политические структуры. Параллельно с этим группа проводила коммерческие атаки на производителей видеоигр в целях манипуляции с кибервалютой и развертывала сети криптомайнеров. Причем нацеленность на видеоигры является одной из превалирующих характеристик APT41.
Целями группы являлись организации в более чем 10 странах – США, Великобритании, Франции, Италии, Японии, Южной Корее, Сингапуре, Тайланде, ЮАР и др.
Группа очень талантлива и активна. Анализ TTPs, которые она применяла в различных операциях, с большой долей вероятности указывает на то, что группа изначально была именно коммерческой. И уже потом китайские спецслужбы приколотили ей уши. Так, некоторые уникальные приемы были разработаны и опробованы APT41 в более ранних коммерческих атаках, а позже использовались в кампаниях, связанных с кибершпионажем.
Предположительно сращивание APT41 с китайскими государственными структурами произошло в 2014 году. Интересно, конечно, было бы поглядеть на китайские новости борьбы с хакерами за тот период, может быть и всплыла бы какая новость о пресечении деятельности местной хакерской группы. Но мы, к сожалению, китайским не владеем.
Что касается конкретных атак APT41, то их просто огромное количество. И несмотря на то, что мы не будем рассматривать их все, а хотим остановиться на самых интересных, вместить все в один и даже в два поста не представляется возможным.
Поэтому рассмотрим кибероперации Double Dragon в следующий раз.
#APT #APT41 #DoubleDragon
