Операция BugDrop. Прослушка более 70 украинских целей через встроенные микрофоны на ПК22.02.2017 12:07

5ec5f07a074f649422d8df3bd604b693.jpg

Специалисты по информационной безопасности из компании CyberX раскрыли детали крупной разведывательной операции, которую неизвестные лица целенаправленно вели на территории Украины. Операция подразумевала установку зловреда на компьютеры жертв и запись разговоров через микрофоны на ПК. Если веб-камеру обычно заклеивают изолентой, то блокировать встроенный микрофон на ПК практически невозможно.

Технический анализ показал высокую квалификацию хакеров. Сложность зловредов и отличная координация атаки указывает на то, что за злоумышленниками стоит мощная организация со значительными ресурсами. Ежедневно с компьютеров жертв скачивалось несколько гигабайт аудиозаписей. Для обработки такого массива данных требуется работа многочисленных сотрудников.

Аудиозаписи копировались на Dropbox, вместе с другими конфиденциальными документами, скриншотами, паролями от веб-сервисов. Поэтому CyberX назвала эту операцию BugDrop.
Жертвами прослушки стали как минимум 70 человек их разных сфер деятельности, в том числе управления критической инфраструктурой, СМИ, научных исследований. Большинство жертв находились на Украине (многие в Донецке и Луганске), несколько человек в России, Саудовской Аравии и Австрии.

Вот примеры нескольких мишеней прослушки:

  • Компания-разработчик удалённых систем мониторинга для нефте- и газопроводов.
  • Международная организация, которая отслеживает нарушения прав человека, занимается борьбой с терроризмом и расследует кибератаки на критическую инфраструктуру Украины (например, взлом электрической сети «Прикарпатьеоблэнерго» в декабре 2015 года — атака типа BlackEnergy).
  • Инженерная компания, которая проектирует электрические подстанции, газовые трубопроводы, сооружения и технические средства водоснабжения.
  • Научно-исследовательский институт.
  • Редакторы украинских газет.


Специалисты CyberX отмечают некоторое сходство операции BugDrop с другой разведывательной операцией Groundbait, которую выявила компания ESET в мае 2016 года. Сходство есть в тактике, технике и процедурах, которые применялись хакерами. Тем не менее, операция BugDrop организована гораздо более хитроумно с применением более сложных техник и процедур. В частности, обращает на себя внимание применение DLL-инъекции с отражением (Reflective DLL Injection) — продвинутой техники атаки, которая использовалась также во время атаки BlackEnergy на украинскую электрическую сеть, а также применялась спецслужбами США и Израиля в программном обеспечении Stuxnet при атаке на иранские центрифуги по обогащению урана.

DLL-инъекция с отражением позволяет загрузить вредоносный код без обращения к обычным Windows API. В данном случае эта техника применялась для загрузки в память зашифрованных (обфусцированных) DLL, которые из-за применения обфускации не поддаются анализу большинством обычных антивирусов и системами песочниц.

Для сбора данных и управления троянами хакеры использовали общедоступные инфраструктуру — бесплатный хостинг.

Первоначальное заражение целей осуществлялось путём рассылки таргетированного личного письма каждой жертве. К письму прилагался документ Microsoft Office с вредоносным макросом. Хакеры применяли тактику социальной инженерии, чтобы убедить жертв включить макросы в Microsoft Office (см. скриншот).

a08fc0b9ee530c6d580d48b887c56aa8.jpg

Сам вордовский документ содержал список военнослужащих с личными данными, такими как дата рождения и адрес.

5f86d518f38c32101c3cd381ced67275.jpg

В вордовском документе срабатывал скрипт VB, который извлекал основной загрузчик во временную папку. Загрузчик определяли только 4 из 54 протестированных антивирусов. Интересно, что пиктограмма для файла EXE с загрузчиком была взята с русскоязычного форума (http://sevastopol.su/world.php? id=90195) — это мем с шуткой над украинцами.

3b508ed8240673f98cdee9fd4115b0de.jpg

Источник пиктограммы:

fb2a60f9e09dd5801d325ca684bbf1cc.jpg

В ресурсах дроппера находились в DLL, обработанные XOR таким образом, что текущий байт XOR’ится с предыдущим — это гораздо более эффективная техника обфускации, чем обычный XOR.

Библиотеки извлекались во временную папку и внедрялись в память методом Reflective DLL Injection, а сами библиотеки прописывались в реестр Windows.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\drvpath
RUNDLL32 "%USERPROFILE%\AppData\Roaming\Microsoft\VSA\klnihw22.nlp”, RUNNER

Одна из библиотек затем скачивала основной модуль программы с бесплатного хостинга по следующему адресу: windows-problem-reporting.site88.net (внимание: по этому адресу может распространяться вредоносное ПО, так что не заходите на него с рабочего компьютера).

Судя по всему, для инициации передачи основного модуля требовалось подтверждение вручную со стороны оператора.

Основной модуль скачивал различные плагины для разных методов прослушки и сбора данных на компьютере (плагины для поиска файлов на диске и USB-накопителях, сбора паролей и других данных из браузера, записи звука через микрофон, сбора информации о ПК). Программа проверяла безопасность работы — отсутствие виртуальной среды, отсутствие Wireshark и т.д., а затем тоже прописывалась в реестр:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hlpAsist
RUNDLL32 "%USERPROFILE%\AppData\Roaming\Microsoft\MSDN\iodonk18.dll”, IDLE

Для каждой жертвы применялся индивидуальный набор плагинов.

Собранные данные программа отправляла на Dropbox по аккаунту со следующими учётными данными:

Имя: P*****
Адрес: P********@mail.ru

Перед отправкой на Dropbox файлы обрабатывались шифром Blowfish. В качестве ключа шифрования использовался ID конкретного компьютера.

Компания CyberX опубликовала хэши SHA-256 для файлов, которые использовались в операции BugDrop.

Документ-приманка с фамилиями военнослужащих
997841515222dbfa65d1aea79e9e6a89a0142819eaeec3467c31fa169e57076a

Дроппер
f778ca5942d3b762367be1fd85cf7add557d26794fad187c4511b3318aff5cfd

Плагины
Сбор скриншотов:
7d97008b00756905195e9fc008bee7c1b398a940e00b0bd4c56920c875f28bfe
dc21527bd925a7dc95b84167c162747069feb2f4e2c1645661a27e63dff8c326
7e4b2edf01e577599d3a2022866512d7dd9d2da7846b8d3eb8cea7507fb6c92a

Кейлоггер:
fc391f843b265e60de2f44f108b34e64c358f8362507a8c6e2e4c8c689fcdf67
943daa88fe4b5930cc627f14bf422def6bab6d738a4cafd3196f71f1b7c72539
bbe8394eb3b752741df0b30e1d1487eeda7e94e0223055771311939d27d52f78
6c479da2e2cc296c18f21ddecc787562f600088bd37cc2154c467b0af2621937
01aab8341e1ef1a8305cf458db714a0392016432c192332e1cd9f7479507027f

Сборщик файлов
06dcf3dc4eab45c7bd5794aafe4d3f72bb75bcfb36bdbf2ba010a5d108b096dc
daf7d349b1b12d9cf2014384a70d5826ca3be6d05df13f7cb1af5b5f5db68d54
24f56ba4d779b913fefed80127e9243303307728ebec85bdb5a61adc50df9eb6
a65e79bdf971631d2097b18e43af9c25f007ae9c5baaa9bda1c470af20e1347c

Сборщик файлов с USB:
a47e6fab82ac654332f4e56efcc514cb2b45c5a126b9ffcd2c84a842fb0283a2
07c25eebdbd16f176d0907e656224d6a4091eb000419823f989b387b407bfd29
3c0f18157f30414bcfed7a138066bc25ef44a24c5f1e56abb0e2ab5617a91000

Сбор данных из браузера:
fb836d9897f3e8b1a59ebc00f59486f4c7aec526a9e83b171fd3e8657aadd1a1
966804ac9bc376bede3e1432e5800dd2188decd22c358e6f913fbaaaa5a6114d
296c738805040b5b02eae3cc2b114c27b4fb73fa58bc877b12927492c038e27c
61244d5f47bb442a32c99c9370b53ff9fc2ecb200494c144e8b55069bc2fa166
cae95953c7c4c8219325074addc9432dee640023d18fa08341bf209a42352d7d
a0400125d98f63feecac6cb4c47ed2e0027bd89c111981ea702f767a6ce2ef75

Микрофон:
1f5e663882fa6c96eb6aa952b6fa45542c2151d6a9191c1d5d1deb9e814e5a50
912d54589b28ee822c0442b664b2a9f05055ea445c0ec28f3352b227dc6aa2db
691afe0547bd0ab6c955a8ec93febecc298e78342f78b3dd1c8242948c051de6

Сбор информации о компьютере:
c9bf4443135c080fb81ab79910c9cfb2d36d1027c7bf3e29ee2b194168a463a7
5383e18c66271b210f93bee8cc145b823786637b2b8660bb32475dbe600be46e
d96e5a74da7f9b204f3dfad6d33d2ab29f860f77f5348487f4ef5276f4262311

© Geektimes