Кибератака АНБ на китайский университет: новые методы шпионажа
Источник: www.inversecos.com
Недавнее расследование китайских отчетов о кибербезопасности привлекло внимание к предполагаемым кибероперациям Агентства национальной безопасности США (АНБ). В частности, речь идет о действиях так называемой Equation Group (APT-C-40), которые нацелились на Северо-Западный политехнический университет Китая.
Обзор операции
Данный анализ основан на обширных исследованиях, проведенных рядом китайских кибербезопасных изданий, включая отчеты Qihoo 360 и Национального центра экстренного реагирования на компьютерные вирусы (CVERC). Атака на университет была осуществлена с использованием более 40 различных вредоносных программ и проводилась подразделением специального доступа АНБ (TAO).
Тактики, методы и процедуры
В ходе атаки злоумышленники использовали комбинацию тактик, методов и процедур (TTP), таких как:
- Атаки MiTM (Man-in-the-Middle)
- Фишинговые кампании spear
Фишинговые письма были замаскированы под обсуждение «обзора научных исследований» и нацелены на сотрудников и студентов университета, внедряя вредоносные программы.
Анализ действий АНБ
Операция проведена в обычное рабочее время в Соединенных Штатах, что подтверждает скоординированный характер атаки. Критически важными для успеха операции стали четыре IP-адреса, полученные АНБ через компании-прикрытия.
Отдельное внимание стоит уделить использованию вредоносной платформы «NOPEN», для внедрения которой требуется участие человека. Дополнительные инструменты, такие как «SECONDDATE», использовались для перехвата внутреннего сетевого трафика и его перенаправления на платформу FOXACID АНБ.
Механизмы проникновения и скрытия
Для первоначального доступа был использован эксплойт для систем Solaris на платформе «ISLAND». Далее АНБ внедрило бэкдоры и инструменты сброса учетных данных для достижения постоянного доступа:
- Использование подлинных учетных данных для проникновения в брандмауэры
- Инструменты для перехвата учетных данных SSH и Telnet
- Сложные варианты внедрения, такие как FLAME SPRAY и STOIC SURGEON
Все это помогало поддерживать контроль над сетью и уклоняться от обнаружения.
Заключение
Защита обратной связи с серверами командования и контроля (C2) осуществлялась с использованием зашифрованных каналов связи. Извлечение данных производилось с помощью инструментов, специально разработанных для обеспечения конфиденциальности телекоммуникационных данных и данных, связанных с обороной. Использование нескольких прокси-серверов для маршрутизации данных не только скрыло источник атаки, но и продемонстрировало многоуровневый подход к обеспечению операционной безопасности.
Китайский криминалистический анализ послужил основой для выявления четких закономерностей на различных этапах атаки и предоставил ценные сведения о времени работы злоумышленников, что подчеркивает сотрудничество в ходе расследования этих кибератак. Информация о таких методах демонстрирует эволюцию APT и их эксплуатационных возможностей, вызывая дискуссии по вопросам реагирования на инциденты и протоколов безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
