💻Этичный хакер (OSCP) и бывший консультант по реагированию на инциденты в Secureworks
💻Этичный хакер (OSCP) и бывший консультант по реагированию на инциденты в Secureworks Лина, она же inversecos, из 🇦🇺Австралии, выкатила крайне интересное исследование пару дней назад о том, как подразделение хакеров из 🇺🇸АНБ США (предположительно Equation Group) китайский университет ломало. Исследование, с указанием ссылок, основано на результатах отчётов Qihoo 360, Pangu Lab и Национального центра экстренного реагирования на вирусные инциденты в Китае (CVERC). Девушка отлично понимает китайскую специфику.
Вспоминаем историю. Китай заподозрил 🇺🇸 США во взломе компьютеров 🇨🇳 Северо-западного политехнического университета Китая, который якобы связан с военными. Взлом китайцы приписали NSA — 🎖Tailored Access Operations (далее TAO). Утверждается, что хакеры задействовали около 40 видов сложного вредоносного ПО и ряд уникальных инструментов, которые фигурировали в утечках Shadow Brokers.
Qihoo 360 и CVERC провели совместное расследование, в ходе которого обнаружили 🗺4 IP‑адреса, предположительно приобретённых через подставные компании «Jackson Smith Consultants» и «Mueller Diversified Systems». Сотрудник АНБ под псевдонимом «Amanda Ramirez» анонимно приобрел их для платформы FoxAcid, которая впоследствии была использована в атаке на университет.
1️⃣ Всё началось с подготовки плацдарма для проведения операции. Хакеры использовали два 0-day и тулзу SHAVER, при помощи которых пробили системы компаний на базе SunOS в соседних странах с Китаем, тем самым создали себе сеть из 54 jump-серверов и 5 прокси-узлов в 17 странах.
2️⃣ Для проникновения в сеть университета хакеры использовали 🦠 spear‑phishing для и man‑in‑the‑middle (MiTM). Письма маскировались под сообщения о «научных исследованиях».
3️⃣ Посредством инструмента ISLAND компрометировались Solaris-серверы для проникновения в университет, после чего внедрялся сложный бэкдор SECONDDATE, предназначенный для перехвата сетевого трафика и перенаправления на платформу FOXACID, где происходило заражение устройств через уязвимости в браузерах.
4️⃣ Когда доступ к сети был получен, атакующие основательно закрепились там, используя целый набор программ: малварь NOPEN для удалённого контроля, малварь FLAME SPRAY с мощными функциями антианализа, CUNNING HERETICS, он же лёгкий имплант для установки зашифрованных каналов связи с АНБ, бэкдор STOIC SURGEON для работы с системами Linux, Solaris, JunOS и FreeBSD. Использовались украденные легитимные учётные записи сотрудников университета. Это позволило атакующим получить доступ к критически важным устройствам, включая маршрутизаторы, брандмауэры и сетевые шлюзы. Захват паролей ИТ-администраторов университета происходил с помощью утилиты DRINKING TEA, которая слушала SSH, Telnet и Rlogin.
5️⃣ Финальным этапом являлась систематическая кража чувствительных данных и сокрытие следов. Секретная информация, содержащая результаты исследований, данные о сетевой инфраструктуры и оперативные документы, собиралась и упаковывалась в зашифрованном виде с помощью набора средств, известного как OPERATION BEHIND ENEMY LINES.
🚠Злоумышленники активно применяли маскировку во время своей операции и юзали продвинутые техники сокрытия следов, среди которых замечена утилита TOAST BREAD (UTMP, WTMP и LASTLOG).
✋Что ещё интересного ❗️ заметили китайские специалисты?
1️⃣ Около 98% всех атак происходило в рабочие часы по времени США (09:00–16:00 EST).
2️⃣ Отсутствие атак в выходные дни и на американские праздники, такие как День независимости и Рождество.
3️⃣ Хакеры использовали английский в ОС и приложениях. Американская раскладка клавиатуры.
4️⃣ Один из атакующих забыл изменить параметры PyScript при запуске и вызвал ошибку. Тем самым он спалил— etc/autoutils. Папка в Linux известна как каталог инструментов у TAO.
5️⃣ Всего китайские спецы обнаружили 41 инструмент, включая малвари, а 16 инструментов полностью совпадают с утечками Shadow Brokers. 23 имеют схожесть на 97%.
👆🤔Примечательно, что по данным CVERC, отдельные серверные узлы FoxAcid (FOX00-6402, FOX00-6104, FOX00-6004) были нацелены на 🇷🇺Россию. Почитать на английском тут.
✋ @Russian_OSINT