GRU: Λογισμικό CozyDuke

Έχουμε αναφέρει πολλές επιθέσεις και συστήματα από υπηρεσίες πληροφοριών των ΗΠΑ και της Μεγάλης Βρετανίας, αλλά όχι ακόμα για τη Ρωσία. Με αυτό το άρθρο ξεκινάμε τις αντίστοιχες αναλύσεις με ένα λογισμικό που έδωσε στη, κατά ισχυρισμό, ρωσική υπηρεσία πληροφοριών (GRU), πρόσβαση σε δίκτυα πολλών κυβερνήσεων. Είναι μία πολύ ενδιαφέρουσα περίπτωση που αξίζει να μελετήσει κανείς.

Πηγή: F-Secure.com

Η υπόθεση CozyDuke έγινε γνωστή το Μάρτιο του 2014 όταν ερευνητές ασφαλείας της ιδιωτικής εταιρίας Kaspersky Lab παρατήρησαν κάποια κοινά χαρακτηριστικά σε επιτυχημένες επιθέσεις κυβερνητικών υπηρεσίων στις ΗΠΑ, Γερμανία, Νότια Κορέα, και Ουζμπεκιστάν. Μάλιστα, κάποιες από τις επιθέσεις έδωσαν στους επιτιθέμενους πρόσβαση στο εσωτερικό δίκτυο του Λευκού Οίκου και στη Υπουργείο Εξωτερικών των ΗΠΑ.

Πηγή: SecureList.com

Ανεξάρτητη έρευνα της ιδιωτικής εταιρίας ασφαλείας F-Secure ανέδειξε ότι το λογισμικό CozyDuke που χρησιμοποιήθηκε σε αυτές τις επιθέσεις υπήρχε σε κάποια συστήματα εγκατεστημένο από τον Ιανουάριο του 2010. Αυτό μας δίνει μία ιδέα του εύρους των μολυσμένων συστημάτων που πάντα ήταν σε ξένες (μη ρωσικές) κρατικές υπηρεσίες. Ας δούμε όμως ολόκληρη την επίθεση σε λίγο μεγαλύτερο βάθος.

Πηγή: ThreatPost.com

Το πρώτο στάδιο της επίθεσης ήταν η αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου στους στόχους προσποιούμενοι ότι είναι κάποιος που ήδη γνώριζαν και ζητώντας τους να επισκεφθούν κάποια σελίδα για να κατεβάσουν και να δουν ένα αστείο βίντεο. Η τεχνική αυτή στο χώρο της ασφάλειας ονομάζεται spear-phising. Μάλιστα, λόγω του ότι το μεγαλύτερο μέρος της αμερικανικής κυβέρνησης μολύνθηκε από ένα αστείο βίντεο που είχε τίτλο «Office Monkeys LOL Video.zip» πολλοί γνωρίζουν αυτή την υπόθεση ως «Μαϊμούδες Γραφείου». Παρακάτω βλέπετε ένα στιγμιότυπο από το συγκεκριμένο βίντεο.

Πηγή: SecureList.com

Η δεύτερη τακτική ήταν να ζητάνε από τους παραλήπτες των email να επισκεφθούν μία γνωστή σελίδα την οποία όμως είχαν παραβιάσει προηγουμένως ώστε να τους στέλνει το ίδιο κακόβουλο λογισμικό. Πολλές φορές αντί του βίντεο με τις μαϊμούδες το έγγραφο-δόλωμα ήταν κάποιο αρχείο PDF ή κάτι αντίστοιχο. Βλέπετε ενδεικτικά το τρόπο λειτουργίας του πρώτου σταδίου του CozyDuke εδώ.

Πηγή: F-Secure.com (επεξεργασμένη)

Αμέσως μετά την εκτέλεση του, το CozyDuke χρησιμοποιεί δύο εντολές του υποσυστήματος WMI για να εντοπίσει αν υπάρχει κάποιο λογισμικό προστασίας από ιούς εγκατεστημένο. Το CozyDuke είχε άγνωστες μέχρι τότε τεχνικές για να μπορεί να αποφύγει τον εντοπισμό από τα λογισμικά προστασίας από ιούς Crystal, Kaspersky, Sophos, DrWeb, Avira, και Comodo Dragon. Στη συνέχεια κατεβάζει μία σειρά από επιπρόσθετα προγράμματα για το CozyDuke που τα δηλώνει στο λειτουργικό σύστημα ως πιστοποιημένα από την εταιρία AMD. Ωστόσο, προσεκτική παρατήρηση των πιστοποιητικών δείχνει ότι δεν είναι έγκυρα πιστοποιητικά της εταιρίας AMD. Μπορείτε να το δείτε και μόνοι σας από τις παρακάτω εικόνες.

Πηγή: SecureList.com

Στη συνέχεια, το CozyDuke κατεβάζει το αρχείο ρυθμίσεων του που το αποθηκεύει με όνομα αρχείου «racss.dat» και τα περιεχόμενα του είναι κρυπτογραφημένα με τον αλγόριθμο κρυπτογράφησης RC4. Οι ερευνητές της εταιρίας Kaspersky, και λίγο αργότερα της F-Secure, κατάφεραν να σπάσουν αυτή τη κρυπτογράφηση αποκαλύπτοντας τι ακριβώς ρυθμίσεις περιέχονται σε αυτό το αρχείο. Βλέπετε το αρχείο αυτό εδώ.

Πηγή: F-Secure.com

Βλέπουμε διάφορες ρυθμίσεις που δεν κάνουν ιδιαίτερη εντύπωση αλλά υπάρχει και κάτι νέο. Τα περισσότερα κακόβουλα λογισμικά παρακολουθήσεων έχουν αυτό που ονομάζεται C&C (Command & Control, Διοίκηση & Έλεγχος), δηλαδή κάποιο σύστημα με το οποίο επικοινωνούν για να δέχονται τις εντολές που πρέπει να εκτελέσουν και το που θα στείλουν τα δεδομένα που υποκλέπτουν. Συνήθως αυτό είναι κάποια φαινομενικά αθώα ιστοσελίδα αλλά το CozyDuke έχει και εφεδρικό σύστημα. Συγκεκριμένα βλέπουμε ότι έχει το λογαριασμό US2515 του μέσου κοινωνικής δικτύωσης Twitter. Έτσι, στους διαχειριστές του δικτύου και στις ομάδες ασφαλείας μπορεί να φαίνεται ότι το μολυσμένο σύστημα επισκέπτεται απλώς το Twitter όταν στη πράξη παίρνει εντολές αποκρυπτογραφώντας τα μηνύματα από αυτό το λογαριασμό. Μάλιστα, βλέπουμε ότι οι δημιουργοί του CozyDuke είχαν και καλή αίσθηση του χιούμορ τόσο στο όνομα του λογαριασμού, όσο και στην εικόνα προφίλ που δημιούργησαν. Βλέπετε το λογαριασμό αυτό στη συνέχεια.

Πηγή: Twitter.com

Αξίζει επίσης να αναφέρουμε ότι η ιδιωτική εταιρία ασφαλείας F-Secure αργότερα ανακάλυψε και ένα δεύτερο λογαριασμό Twitter που χρησιμοποιούνταν ως εφεδρικό C&C από το λογισμικό CozyDuke. Ήταν ο λογαριασμός monkey_drive που μάλιστα εάν τον επισκεφθεί κανείς θα δει ότι έχει δύο εντολές δοκιμών από το Φεβρουάριο του 2015.

Πηγή: Twitter.com

Η εταιρία F-Secure επίσης χαρτογράφησε όλες τις διευθύνσεις ιστοσελίδων C&C που χρησιμοποιούσε το CozyDuke και είναι οι ακόλουθες όπως ακριβώς τις παρουσίασε στη σχετική της ανάλυση.

Πηγή: F-Secure.com

Το πρόγραμμα CozyDuke είχε επίσης δύο αρχεία βάσεων δεδομένων, τα αρχεία settings.db και sdfg3d.db, τα οποία είχαν μέσα τους όλα τα επιπρόσθετα προγράμματα που έχουν εγκατασταθεί μαζί με τις ρυθμίσεις τους. Βλέπετε ένα δείγμα από το αρχεία αυτά στη συνέχεια.

Πηγή: SecureList.com

Για παράδειγμα, ένα από τα επιπρόσθετα προγράμματα ήταν το ChromeUpdate.exe που καταγράφει και στέλνει στο C&C ότι κάνει ο χρήστης μαζί με στιγμιότυπα (screenshots) από την οθόνη του. Οι μέχρι τώρα αναλύσεις αναφέρουν ότι πέρα του ότι το CozyDuke μπορεί να κατεβάζει και να εκτελεί επιπρόσθετα προγράμματα, έχει τις ακόλουθες δυνατότητες:

  • Εκτέλεση οποιασδήποτε εντολής στο μολυσμένο σύστημα
  • Αυτόματη κλοπή κωδικών πρόσβασης
  • Αυτόματη κλοπή κωδικών συστήματος (NTLM)
  • Αυτόματη συλλογή πληροφοριών συστήματος
  • Αυτόματη λήψη στιγμιότυπων (screenshots)

Πηγή: CrowdStrike.com

Τα παραπάνω είναι οι δυνατότητες του CozyDuke, αλλά για την επικοινωνία του με το C&C το CozyDuke έχει μόλις έξι εντολές. Είναι αυτές που βλέπετε παρακάτω.

  1. Add: Προσθήκη εντολής/διεργασίας για εκτέλεση
  2. Delete: Διαγραφή εντολής/διεργασίας προς εκτέλεση
  3. Stop: Παύση εντολής/διεργασίας που εκτελείται
  4. Modify: Αλλαγή ρυθμίσεων εντολής/διεργασίας προς εκτέλεση
  5. Upload: Αποστολή δεδομένων από το σύστημα
  6. Download: Κατέβασμα αρχείου στο σύστημα

Αξίζει να αναφέρουμε ότι στην ορολογία του CozyDuke, μία εντολή/διεργασία (task) είναι οποιαδήποτε εκτέλεση εντολών ή προγραμμάτων ενώ τα επιπρόσθετα προγράμματα τα αποκαλεί modules. Είναι εξίσου αξιοσημείωτο ότι το ίδιο το πρόγραμμα αποκαλεί τον εαυτό του Agent και Agent_NextGen ανάλογα με την έκδοση του. Η καρδιά του λογισμικού CozyDuke φαίνεται πως είναι μία βιβλιοθήκη προγραμμάτων που έχει όνομα αρχείου cache.dll.

Πηγή: SecureList.com

Όπως βλέπετε έχει μέγεθος 438KB και είναι και αυτή κρυπτογραφημένη. Μέσα της έχει όλες τις λειτουργίες για επικοινωνία με το C&C, βοηθητικά προγράμματα που χρειάζεται το CozyDuke, όλες τις λειτουργίες συλλογής πληροφοριών συστήματος, κρυπτογράφησης δεδομένων και εντολές για επικοινωνία με το C&C. Οι εντολές που δίνει στο CozyDuke είναι οι παρακάτω και βλέπετε και ένα δείγμα από την εντολή ADB_Setup στο τέλος.

  • ADB_Add
  • ADB_Cleanup
  • ADB_Initnj
  • ADB_Load
  • ADB_Release
  • ADB_Remove
  • ADB_Setup

Πηγή: SecureList.com

Η ανάλυση όλων των παραπάνω κλήσεων της βιβλιοθήκης cache.dll έδειξαν ότι πολλές ήταν μέρος ήδη γνωστών κακόβουλων λογισμικών που τα στοιχεία δείχνουν ότι προέρχονταν από τη ρωσική υπηρεσία πληροφοριών GRU. Μάλιστα, σχεδόν όλες οι εντολές είχαν κοινά με ένα ρωσικό λογισμικό κρατικών υποκλοπών που ήταν γνωστό από τον Ιούλιο του 2010. Αυτό δείχνει ότι είτε οι ίδιοι άνθρωποι έφτιαξαν το CozyDuke, είτε είχαν πρόσβαση στα ίδια εργαλεία και προγράμματα παρακολουθήσεων. Χάρη σε αυτή τη συσχέτιση, σε συνδυασμό με τις τακτικές των επιτιθέμενων και τους στόχους που ήταν όλοι κρατικές υπηρεσίες εκτός της Ρωσικής Ομοσπονδίας, εικάζεται ότι πίσω από το CozyDuke κρύβεται η ρωσική υπηρεσία πληροφοριών GRU.

Πηγή: Russia-Insider.com

Όπως έχουμε ξαναπεί, φαίνεται πως τα τελευταία χρόνια ζούμε μία ηλεκτρονική έκδοση του Ψυχρού Πολέμου. Μέχρι τώρα δυστυχώς έχουμε δει «παράπλευρες απώλειες» από αυτό και ακόμα χειρότερα οι εντάσεις φαίνεται να μεγαλώνουν όσο περνάει ο καιρός. Κλείνοντας, βλέπετε μία περίληψη του λογισμικού CozyDuke που έκανε σε ανάλυση της για κρατικές επιθέσεις από τη Ρωσία η ιδιωτική εταιρία F-Secure.

Πηγή: F-Secure.com (επεξεργασμένη)

Γράψτε τα σχόλια σας εδώ...

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση / Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση / Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση / Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση / Αλλαγή )

Σύνδεση με %s