Το τμήμα έρευνας της Check Point Software, Check Point Research, έχει εντοπίσει μια συνεχή επιχείρηση κατασκοπείας στον κυβερνοχώρο με στόχο την Αφγανική κυβέρνηση. Η θεωρούμενη κινεζική ομάδα χάκερ, υποδύθηκε το Γραφείο του Προέδρου του Αφγανιστάν για να διεισδύσει στο Συμβούλιο Εθνικής Ασφάλειας του Αφγανιστάν (Afghan National Security Council – NSC) και χρησιμοποίησε το Dropbox για να καλύψει τις δραστηριότητές της.
Η Check Point πιστεύει ότι αυτή είναι η τελευταία πράξη μιας μακροχρόνιας επιχείρησης που χρονολογείται από το 2014, κατά την οποία θύματα ήταν και άλλες χώρες της Κεντρικής Ασίας, τα Κιργιζιστάν και Ουζμπεκιστάν.
Συνεχής επιχείρηση κατασκοπείας στον κυβερνοχώρο με στόχο την Αφγανική κυβέρνηση
Η Check Point Research (CPR) έχει διαπιστώσει μια συνεχή επιχείρηση κατασκοπείας στον κυβερνοχώρο με στόχο την Αφγανική κυβέρνηση. Πίσω από αυτή θεωρείται ότι είναι η κινεζική ομάδα χάκερ γνωστή ως “IndigoZebra”, η οποία χρησιμοποίησε το Dropbox, τη δημοφιλή υπηρεσία αποθήκευσης cloud, για να διεισδύσει στο Αφγανικό Συμβούλιο Εθνικής Ασφάλειας (Afghan National Security Council – NSC).
- Οι δράστες στέλνουν ένα ψεύτικο μήνυμα ηλεκτρονικού ταχυδρομείου με το οποίο προτρέπουν να λάβουν μέρος σε μια επερχόμενη συνέντευξη Τύπου που διοργανώνει η NSC
- Χρησιμοποιούν το Dropbox για να μην εντοπιστούν, αξιοποιώντας το API ως το κέντρο εντολών και ελέγχου τους
- Η CPR έχει εντοπίσει κακόβουλες ενέργειες από χάκερ, όπως την πρόσβαση σε αρχεία στο desktop των θυμάτων, την ανάπτυξη εργαλείου σάρωσης και την εκτέλεση ενσωματωμένων εργαλείων δικτύωσης των Windows
«Από το γραφείο του Προέδρου του Αφγανιστάν»
Η έρευνα της CPR ξεκίνησε τον Απρίλιο, όταν ένας αξιωματούχος στο Συμβούλιο Εθνικής Ασφάλειας του Αφγανιστάν έλαβε ένα email υποτίθεται από το Διοικητικό Γραφείο του Προέδρου του Αφγανιστάν. Το email καλούσε τον παραλήπτη να επανεξετάσει τις τροποποιήσεις στο έγγραφο που σχετιζόταν με μια επερχόμενη συνέντευξη τύπου από το NSC. Η αλυσίδα μόλυνσης ξεκινά με εξαπάτηση από Υπουργείο σε Υπουργείο.
Η CPR συνοψίζει τη μεθοδολογία της κατασκοπείας στον κυβερνοχώρο στα ακόλουθα βήματα:
-
Αποστολή email υποδυόμενος πρόσωπο υψηλού προφίλ
Οι χάκερ ενορχηστρώνουν μια εξαπάτηση από υπουργείο σε υπουργείο, όπου ένα emailαποστέλλεται σε έναν στόχο υψηλού προφίλ από τις θυρίδες ενός άλλου θύματος υψηλού προφίλ.
-
Κακόβουλο συνημμένο
Οι χάκερ προσθέτουν ένα αρχείο αρχειοθέτησης που περιέχει κακόβουλο λογισμικό, αλλά προσποιείται ότι είναι ένα νόμιμο συνημμένο. Σε αυτήν την περίπτωση, το email περιείχε ένα αρχείο RAR που προστατευόταν με κωδικό πρόσβασης με την ονομασία NSC Press conference.rar.
-
Το πρώτο έγγραφο ανοίγει
Το εξαγόμενο αρχείο, NSC Press conference.exe, λειτουργεί ως σταγονόμετρο. Το περιεχόμενο του email που έχει σταλεί ως δέλεαρ υποδηλώνει ότι το συνημμένο αρχείο είναι το έγγραφο, επομένως, για να μειώσει όποιες υποψίες που θα είχε το θύμα, οι εισβολείς χρησιμοποιούν ένα απλό τέχνασμα: το πρώτο έγγραφο στην επιφάνεια εργασίας του θύματος είναι ανοιχτό για το χρήστη κατά την εκτέλεση του. Οπότε, είτε το σταγονόμετρο βρει ένα έγγραφο για άνοιγμα είτε όχι, θα προχωρήσει στο επόμενο στάδιο – θα ρίξει την πίσω πόρτα.
-
Χρήση του Dropbox ως κέντρο εντολών και ελέγχου
Το backdoor επικοινωνεί με έναν προκαθορισμένο και μοναδικό φάκελο σε κάθε θύμα στο Dropbox. Αυτό χρησιμεύει ως η διεύθυνση όπου η πίσω πόρτα αντλεί περαιτέρω εντολές και αποθηκεύει τις πληροφορίες που κλέβει.
Μεταμφίεση και Επιμονή με το Dropbox
Οι παράγοντες απειλής χρησιμοποιούν το Dropbox API για να καλύψουν τις κακόβουλες δραστηριότητές τους, καθώς δεν πραγματοποιείται επικοινωνία με μη φυσιολογικούς ιστότοπους. Η πίσω πόρτα που έχει δημιουργηθεί από τους παράγοντες απειλής δημιουργεί έναν μοναδικό φάκελο για το θύμα σε έναν λογαριασμό Dropbox που ελέγχεται από τον εισβολέα. Όταν οι παράγοντες απειλής πρέπει να στείλουν ένα αρχείο ή εντολή στον υπολογιστή του θύματος, το τοποθετούν στο φάκελο με το όνομα “d” στο φάκελο Dropbox του θύματος. Το κακόβουλο λογισμικό ανακτά αυτόν τον φάκελο και κατεβάζει όλα τα περιεχόμενά του στον φάκελο εργασίας. Το backdoor δημιουργεί επιμονή, ορίζοντας ένα κλειδί μητρώου που έχει σχεδιαστεί για να εκτελείται όποτε συνδέεται ένας χρήστης.
Ενέργειες κατασκοπείας στον κυβερνοχώρο που εντοπίστηκαν από το CPR
Σε αυτήν την επίθεση, μερικές από τις ενέργειες που εντόπισε η CPR περιελάμβαναν:
- Λήψη και εκτέλεση ενός εργαλείου σαρωτή που χρησιμοποιείται ευρέως από πολλούς APT χάκερ, συμπεριλαμβανομένης της παραγωγικής Κινεζικής ομάδας APT10
- Εκτέλεση ενσωματωμένων εργαλείων δικτύωσης Windows
- Πρόσβαση στα αρχεία του θύματος και ειδικά σε έγγραφα που βρίσκονται στην επιφάνεια εργασίας
Στόχοι: Αφγανιστάν, Κιργιστάν και Ουζμπεκιστάν
Ενώ η CPR είδε αυτή την παραλλαγή του Dropbox να στοχεύει αξιωματούχους της κυβέρνησης του Αφγανιστάν, οι χάκερ επικεντρώνονται σε πολιτικές οντότητες σε δύο συγκεκριμένες χώρες της Κεντρικής Ασίας, το Κιργιζιστάν και το Ουζμπεκιστάν. Η CPR παρέχει συγκεκριμένους δείκτες της θυματολογίας στην τεχνική της έκθεση.
