GRU: Λογισμικό PinchDuke

Πριν από λίγες ημέρες είχαμε αναρτήσει το άρθρο «GRU: Λογισμικό CozyDuke» που περιγράφαμε ένα από τα πιο γνωστά εργαλεία μίας ομάδας που εικάζεται ότι είναι η ρωσική υπηρεσία πληροφοριών GRU. Σε αυτό το άρθρο θα δούμε τον πρόγονο του CozyDuke, ένα λογισμικό υποκλοπών από την ίδια ομάδα που στο χώρο της ασφάλειας έχει βαφτιστεί ως PinchDuke.

Πηγή: TechCrunch.com

Η ομάδα αυτή έγινε ιδιαίτερα γνωστή όταν αποδείχθηκε ότι είχε αποκτήσει πρόσβαση σε κρίσιμα κυβερνητικά συστήματα πολλών δυτικών κρατών, συμπεριλαμβανομένων και των ΗΠΑ, το 2015. Αλλά η πρώτη της εμφάνιση στον ηλεκτρονικό κόσμο φαίνεται να είναι το 2008 με το λογισμικό που θα παρουσιάσουμε εδώ. Αξίζει να αναφέρουμε ότι παρότι όλα τα στοιχεία δείχνουν προς τη κατεύθυνση της GRU, μέχρι να γίνει απόλυτη επιβεβαίωση η ομάδα που κρύβεται πίσω από αυτό έχει κατονομαστεί με διάφορα ψευδώνυμα από εταιρίες ασφαλείας. Τα πιο γνωστά ονόματα που της έχουν δοθεί είναι APT29, Cozy Bear, και The Dukes. Το τελευταίο είναι βάσει των ονομάτων των λογισμικών που έχουν χρησιμοποιήσει μέχρι σήμερα.

News.Softpedia.com

Η ιστορία του λογισμικού PinchDuke ξεκινάει στις 5 Νοεμβρίου του 2008 όταν εμφανίστηκε πρώτη φορά. Η πρώτη επίθεση ήταν στους διαχειριστές της ιστοσελίδας Al-Kavkaz, μία τουρκική ιστοσελίδα που ήταν γνωστή ως το «Κέντρο Ενημέρωσης Τσετσένων». Βλέπετε μία εικόνα από τη σελίδα αυτή όπως ήταν το 2008.

Πηγή: AlKavkaz.com

Το λογισμικό PinchDuke είχε σταλεί στους διαχειριστές της σελίδας ως ένα έγγραφο με σημαντικές πληροφορίες μέσω ηλεκτρονικού ταχυδρομείου. Όταν οι διαχειριστές το άνοιξαν, όντως περιείχε ένα έγγραφο με σημαντικές πληροφορίες αλλά ταυτόχρονα εκτελούσε και ένα κακόβουλο λογισμικό, το λογισμικό PinchDuke. Το λογισμικό PinchDuke εκτελούσε τέσσερις βασικές λειτουργίες αυτόματα. Πρώτον μάζευε στοιχεία από το σύστημα που είχε μολύνει και τα έστελνε σε κάποιο σύστημα που συνδέεται με τη ρωσική υπηρεσία πληροφοριών GRU, δεύτερον κατέβαζε από το ίδιο απομακρυσμένο σύστημα άλλα κακόβουλα προγράμματα προς εκτέλεση, τρίτον έψαχνε για έγγραφα συγκεκριμένης περιόδου και τα έστελνε στο ίδιο απομακρυσμένο σύστημα, και τέταρτον έκλεβε κωδικούς πρόσβασης από το μολυσμένο σύστημα. Συγκεκριμένα έκλεβε κωδικούς πρόσβασης από τα ακόλουθα.

Πηγή: F-Secure.com

Είναι σημαντικό να αναφέρουμε ότι πέρασαν σχεδόν δύο χρόνια μέχρι αυτή η επίθεση να γίνει αντιληπτή. Στο ενδιάμεσο διάστημα, για την ακρίβεια στις 12 Νοεμβρίου του 2008 οι διαχειριστές της ιστοσελίδας Cihaderi δέχθηκαν την ίδια επιτυχημένη επίθεση με το PinchDuke. Η σελίδα Cihaderi ήταν μία τουρκική ιστοσελίδα με τίτλο «Νέα από το κόσμο της Τζιχάντ». Βλέπετε ένα στιγμιότυπο της σελίδας από το 2009 στην επόμενη εικόνα.

Πηγή: Cihaderi.net

Κανένας δε γνώριζε τίποτα για το λογισμικό PinchDuke μέχρι το φθινόπωρο του 2009. Τότε η φινλανδική εταιρία F-Secure άρχισε να ψάχνει ένα κακόβουλο λογισμικό που εντόπισε στο Υπουργείο Αμύνης της Γεωργίας, αυτό οδήγησε στην αποκάλυψη του PinchDuke. Μάλιστα, ο λόγος για τον οποίο το ονόμασαν PinchDuke ήταν γιατί είδαν ότι οι προγραμματιστές του είχαν χρησιμοποιήσει ένα πρόγραμμα κλοπής κωδικών που πωλούνταν στη ρωσική μαύρη αγορά και ονομάζονται LdPinch. Έτσι, καθώς η ομάδα είχε όνομα The Dukes κατά την F-Secure, βάφτισαν αυτό το λογισμικό PinchDuke. Σύντομα η έρευνα της F-Secure έδειξε ότι το PinchDuke ήταν εγκατεστημένο και στα Υπουργεία Εξωτερικών της Τουρκίας και της Ουγκάντα και έτσι άρχισε μία πιο εντατική αναζήτηση και παρατήρηση της ομάδας που βρίσκονταν πίσω. Μία σημαντική ανακάλυψη ήταν ότι παρότι το PinchDuke δε περιείχε σχεδόν κανένα κείμενο, είχε ένα μήνυμα σφάλματος γραμμένο στα ρωσικά. Ήταν το μήνυμα σφάλματος κατά την εκτέλεση που βλέπετε παρακάτω.

Πηγή: F-Secure.com

Το μήνυμα αυτό μεταφράζεται στα ελληνικά ως «Σφάλμα στο όνομα προγράμματος! Το μέγεθος του ονόματος από το τομέα δεδομένων πρέπει να είναι 4 bytes!». Λίγο αργότερα, στις 16 και 17 Απριλίου του 2009 το PinchDuke ξαναχτύπησε αλλά πλέον η εταιρία F-Secure παρακολουθούσε στενά την ομάδα αυτή. Αυτή τη φορά μηνύματα ηλεκτρονικού ταχυδρομείου εστάλησαν στις κυβερνήσεις της Πολωνίας, της Τσεχίας, και των ΗΠΑ με έγγραφα Microsoft Word και PDF που έκρυβαν το PinchDuke. Σε όλες τις περιπτώσεις το έγγραφο δόλωμα ήταν ένα άρθρο του BBC που είχε τίτλο «ΝΑΤΟ exercices ‘a dangerous move’» (Οι ασκήσεις του ΝΑΤΟ είναι «επικίνδυνη κίνηση») που βασίζονταν σε φράση του πρωθυπουργού της Ρωσίας, κύριου Ντμίτρι Μεντβέντεφ. Βλέπετε απόσπασμα από το σχετικό άρθρο εδώ.

Πηγή: BBC.co.uk

Όπως αποδείχθηκε αργότερα, εκείνη τη περίοδο ο Πρόεδρος Ομπάμα των ΗΠΑ είχε ξεκινήσει μυστικές συναντήσεις για τη κατασκευή αντιπυραυλικής βάσης στην Ευρώπη και συγκεκριμένα στη Πολωνία με ένα σταθμό ραντάρ στη Τσεχία. Φαίνεται πως αυτός ήταν ο στόχος των παραπάνω επιθέσεων, η συλλογή πληροφοριών για αυτό το πρόγραμμα το όποιο λίγο αργότερα οι ΗΠΑ ακύρωσαν.

Πηγή: Wikipedia.org

Παρότι η F-Secure βρίσκονταν στα ίχνη του PinchDuke και είχε ήδη εντοπίσει κάποιες σοβαρές μολύνσεις όπως οι παραπάνω, το PinchDuke δε σταμάτησε εκεί. Η επόμενη εμφάνιση του ήταν στις 7 Ιουνίου του 2009 σε αντίστοιχη επίθεση σε διαχειριστές της ιστοσελίδας NATOInfo.ge (Κέντρο Πληροφοριών για το ΝΑΤΟ και την ΕΕ) της Γεωργίας. Φαίνεται πως η ομάδα πίσω από το PinchDuke ενδιαφέρονταν για πληροφορίες σχετικά με τις σχέσεις NATO και Γεωργίας γιατί αυτή την επίθεση ακολούθησε στις 3 Ιουλίου του 2009 μία ακόμα επιτυχημένη επίθεση με στόχο το Υπουργείο Αμύνης της Γεωργίας. Βλέπετε ένα παλιό στιγμιότυπο από τη σελίδα NATOInfo.ge.

Πηγή: NATOInfo.ge

Η τελευταία καταγεγραμμένη επίθεση με το λογισμικό PinchDuke παρατηρήθηκε τον Ιούλιο του 2010. Ήταν μία σειρά επιτυχημένων επιθέσεων στη Κοινοπολιτεία Ανεξαρτήτων Κρατών και για την ακρίβεια στο Καζακστάν, στο Κιργιζιστάν, στο Αζερμπαϊτζάν, και στο Ουζμπεκιστάν. Η τελευταία από αυτές ήταν στις 30 Ιουλίου του 2010 σε κυβερνητικούς οργανισμούς του Καζακστάν. Σύμφωνα με την εταιρία F-Secure η ομάδα πίσω από το PinchDuke εκείνη τη περίοδο άρχισε να αφαιρεί το PinchDuke και να εγκαθιστά ένα νέο κακόβουλο λογισμικό στα μολυσμένα συστήματα, το CosmicDuke, που θα αναλύσουμε σε άλλο άρθρο. Παρακάτω βλέπετε όλα τα αναγνωριστικά επιθέσεων του PinchDuke, συνήθως η δομή τους είναι «στόχος» και «ημερομηνία» σε μορφή ΕΤΟΣ-ΜΗΝΑΣ-ΗΜΕΡΑ.

Πηγή: F-Secure.com

Καθώς η φινλανδική εταιρία F-Secure ήταν αυτή που αποκάλυψε και βρήκε τη μέθοδο εντοπισμού και πρόληψης κατά του κακόβουλου λογισμικού PinchDuke, θα κλείσουμε με τη σύντομη περιγραφή της. Μέχρι σήμερα δεν υπάρχουν ισχυρά αποδεικτικά στοιχεία που να συνδέουν το PinchDuke με τη ρωσική υπηρεσία πληροφοριών GRU αλλά βάσει των τακτικών, των τεχνικών, των στόχων, και της αποστολής του PinchDuke εικάζεται ότι ήταν κατασκευασμένο είτε από την ίδια την GRU, είτε από κάποια ομάδα που δρούσε για λογαριασμό της ρωσικής υπηρεσίας πληροφοριών.

Πηγή: F-Secure.com (επεξεργασμένη)

2 thoughts on “GRU: Λογισμικό PinchDuke

  1. Αξιέπαινε Συντάκτα,
    Στην πρόταση ’’…GRU αλλά βάση των τακτικών, των τεχνικών…’’ ,το σωστό είναι ’’βάσει των…’’. Αυτό, σάς το ξαναεπεσήμανα, κι ελπίζω όπως αυτό να μην εξελήφθη ως προσβολή του εγωισμού σας

Γράψτε τα σχόλια σας εδώ...

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση / Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση / Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση / Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση / Αλλαγή )

Σύνδεση με %s