12.7.18

Κίνα-Μονάδα 61398: Επιχείρηση Δράκος της Νύχτας

Στην Κίνα ο PLA (People’s Liberation Army, Λαϊκός Απελευθερωτικός Στρατός) χρησιμοποιεί κωδικούς για τη κάθε μονάδα του ώστε να μην είναι εύκολο για κάποιον να γνωρίζει ποια μονάδα κάνει τι. Αυτό είναι πολύ πρακτικό για τον PLO διότι η γλώσσα τους κάνει την απομνημόνευση αριθμών πολύ εύκολη. Στο χώρο του ΝΑΤΟ οι κωδικοί αυτοί της Κίνας ονομάζονται MUCD (Military Unit Cover Designator, Αναγνωριστικό Κάλυψης Στρατιωτικής Μονάδας) και εμείς εδώ θα δούμε μία επιχείρηση της Μονάδας 61398 του PLA.

Η Μονάδα 61398 όπως ανακαλύφθηκε το 2013 υπάγεται στο 2ο Γραφείο της 3ης Ταξιαρχίας Υποκλοπών του Γενικού Επιτελείου Στρατού. Ουσιαστικά, η «61398部队» όπως λέγεται κανονικά, έχει πέντε γνωστές αποστολές. Κρυφές επικοινωνίες, Αγγλική γλώσσα, μελέτη λειτουργικών συστημάτων, επεξεργασία ψηφιακών σημάτων, και ασφάλεια δικτύων. Βλέπετε παρακάτω μέσα στο κόκκινο πλαίσιο που ακριβώς βρίσκεται στην ιεραρχία του Κομμουνιστικού Κόμματος της Κίνας. Με απλά λόγια, η Μονάδα 61398 είναι μία μονάδα κυβερνοπολέμου της Κίνας που εδώ και πάνω από δέκα χρόνια αποτελεί μία από τις ισχυρότερες δυνάμεις διαδικτυακής κατασκοπείας παγκοσμίως.

Ένα εξαιρετικό παράδειγμα της δράσης της μονάδας ήταν η επιχείρηση «Night Dragon» (Δράκος της Νύχτας) που ξεκίνησε το Νοέμβριο του 2009 και πρώτη φορά αποκαλύφθηκε τον Αύγουστο του 2011 από την ιδιωτική εταιρία ασφαλείας McAfee. Μάλιστα, σύμφωνα με το κρατικό CERT (Computer Emergency Response Team, Ομάδα Άμεσης Επέμβασης για Υπολογιστικά Συστήματα) των ΗΠΑ σε επίσημη ανακοίνωση του δήλωσε ότι ίσως οι πρώτες επιθέσεις αυτής της επιχείρησης να ήταν αρκετά νωρίτερα, γύρω στο 2007. Οπότε από το παραπάνω είναι ξεκάθαρο ότι η Μονάδα 61398 είχε πρόσβαση στους στόχους της επιχείρησης «Δράκος της Νύχτας» τουλάχιστον για 3 χρόνια. Ποιοι ήταν όμως οι στόχοι; Οι στόχοι ήταν οι κολοσσοί του χώρου της ενέργειας. Δηλαδή, πετρελαϊκές εταιρίες, εταιρίες διαχείρισης δικτύων ηλεκτροδότησης, φυσικού αερίου, αντίστοιχοι κρατικοί φορείς, κτλ. Και τώρα που γνωρίζουμε τους στόχους, και το ότι η Κίνα είχε εκεί πρόσβαση για τουλάχιστον 3 χρόνια, πάμε να δούμε το πως το κατάφερε αυτό.

Για την αρχική πρόσβαση χρησιμοποιήθηκαν δύο διαφορετικές τεχνικές επιθέσεως. Η πρώτη ήταν εκμεταλλευόμενοι κενά ασφαλείας τύπου SQL Injection όπως αυτά που έχουμε περιγράψει στα άρθρα μας «Πολεμικά Παίγνια: OTW Natas #14» και «Πολεμικά Παίγνια: OTW Natas #15». Βλέπετε τη διαδικασία αυτής της επίθεσης σε ελληνική απόδοση όπως τη περιέγραψε η εταιρία McAfee που διαχειρίστηκε πολλές από αυτές τις επιθέσεις το 2011.

Για τις επιθέσεις SQL Injection χρησιμοποιήθηκαν κενά ασφαλείας που ήταν άγνωστα μέχρι εκείνη την ημέρα στις εταιρίες που αναπτύσσουν αυτά τα λογισμικά. Κάτι που δείχνει μεγάλη τεχνογνωσία και εμπειρία σε αυτού του τύπου τις επιθέσεις. Επιπρόσθετα, μετά τη πρόσβαση στον εξυπηρετητή της εταιρίας-στόχου, οι επιτιθέμενοι εγκαθιστούσαν το κακόβουλο λογισμικό κινεζικής προέλευσης ASPXSpy για να πάρουν πρόσβαση εκεί. Στους στόχους όπου δεν ήταν εφικτή η εγκατάσταση του ASPXSpy, χρησιμοποιούνταν άλλα αντίστοιχα προγράμματα κινεζικής προέλευσης. Εάν η απόκτηση πρόσβασης στο στόχο με τη μέθοδο που περιγράψαμε ήταν αδύνατη, τότε η Μονάδα 61398 χρησιμοποιούσε τη δεύτερη μέθοδο της.

Επιθέσεις «spear-phishing», δηλαδή αποστολή ψεύτικων email σε στοχευμένα άτομα μέσα στους οργανισμούς στόχους. Βλέπετε τη διαδικασία καλύτερα στο παρακάτω διάγραμμα που το έχουμε μεταφράσει από την επίσημη αναφορά της εταιρίας McAfee. Και στις δύο περιπτώσεις το αποτέλεσμα είναι ίδιο, η εγκατάσταση λογισμικού τύπου RAT (Remote Access Tool, Εργαλείο Απομακρυσμένης Πρόσβασης) όπου μέσω του εξυπηρετητή C&C (Command & Control, Διοίκηση & Έλεγχος) στέλνει εντολές στα μολυσμένα συστήματα και λαμβάνει δεδομένα από αυτά.

Στα μολυσμένα συστήματα οι επιτιθέμενοι απενεργοποιούσαν τα προγράμματα προστασίας από ιούς, και σε πολλές περιπτώσεις εντόπισαν ένα σπουδαίο κενό ασφαλείας. Παρότι τα συστήματα ήταν σχεδιασμένα να «βγαίνουν» στο διαδίκτυο μέσω ενός ενδιάμεσου συστήματος (proxy), η απενεργοποίηση αυτής της ρύθμισης τους επέτρεπε να έχουν απευθείας πρόσβαση στο διαδίκτυο χωρίς να περνάνε μέσα από αυτό το ενδιάμεσο σύστημα που προσφέρει κάποια στοιχειώδη ασφάλεια αλλά και καταγραφή των επικοινωνιών. Η λίστα από ηλεκτρονικές διεύθυνσεις που χρησιμοποιήθηκαν σε αυτές τις επιθέσεις από τα συστήματα C&C. (is-a-chef.com, thruhere.net, office-on-the.net, selfip.com)


Σε κάποιες περιπτώσεις οι επιτιθέμενοι εγκατέστησαν λογισμικό C&C και στους εξυπηρετητές των εταιριών-στόχων και τους χρησιμοποιούσαν ως δευτερεύοντες, για τη περίπτωση που οι εταιρίες εντόπιζαν και μπλόκαραν την επικοινωνία από τα παραπάνω. Μία άλλη τεχνική που χρησιμοποίησαν ήταν η επικοινωνία «beacon» (φάρος). Ανά τακτά χρονικά διαστήματα τα μολυσμένα συστήματα έστελναν ένα απλό μήνυμα στο C&C ώστε να γνωρίζει ο επιτιθέμενος ότι τα μολυσμένα συστήματα είναι ακόμα υπό τον έλεγχο του.

Χάρη στα παραπάνω η εταιρία McAfee κατάφερε να πάρει ένα αντίγραφο από το κακόβουλο λογισμικό τύπου RAT που χρησιμοποίησαν οι επιτιθέμενοι. Ήταν ένα λογισμικό κατασκευασμένο το 2010 με όνομα «zwShell». Το πρόγραμμα έχει διπλή χρήση, τόσο ως σύστημα μόλυνσης αλλά και ως δημιουργίας προγραμμάτων μόλυνσης. Ωστόσο, όταν οι ειδικοί ασφαλείας της McAfee προσπάθησαν να το εκτελέσουν εμφάνιζε αυτό το σφάλμα.

Εάν παρατηρήσατε επάνω από το κουμπί «ΟΚ» υπάρχει ένας κρυμμένος χώρος για τοποθέτηση κειμένου. Όταν κανείς πληκτρολογήσει «zw.china» εκεί και πατήσει «ΟΚ», τότε το πρόγραμμα θα ανοίξει στο μενού του επιτιθέμενου από όπου μπορεί να κατασκευάσει προγράμματα μόλυνσης. Βλέπετε αυτό το παράθυρο παρακάτω.

Στο παραπάνω παράθυρο ο επιτιθέμενος ρυθμίζει στο επάνω μέρος τα στοιχεία πρόσβασης στον εξυπηρετητή C&C και στο κάτω μέρος τι ήχος ειδοποίησης να ακουστεί όταν κάποιο μολυσμένο σύστημα συνδεθεί στον εξυπηρετητή C&C. Παρακάτω βλέπετε περισσότερες ρυθμίσεις για τον εξυπηρετητή C&C από το ίδιο πρόγραμμα.

Βλέπετε στη συνέχεια πως φαίνεται όταν ένα μολυσμένο σύστημα συνδεθεί στο πρόγραμμα «zwShell». Από την ίδια εικόνα φαίνεται πως ο επιτιθέμενος έχει πρόσβαση για εκτέλεση εντολών, ανέβασμα και κατέβασμα αρχείων, εγκατάσταση και απεγκατάσταση προγραμμάτων, κτλ.


Αντίστοιχα, στη συνέχεια φαίνεται καλύτερα πως είναι το πρόγραμμα για ανέβασμα και κατέβασμα αρχείων από το «zwShell» που είναι ένα κακόβουλο λογισμικό τύπου RAT από το 2010.

Σχετικά με τους επιτιθέμενους, αρκετά χρόνια αργότερα, το 2013, έγινε γνωστό από συσχέτιση άλλων περιστατικών ότι πίσω από αυτή την επίθεση ήταν η Μονάδα 61398 της Κίνας.

Πέρα από τα εργαλεία που ήταν σχεδόν όλα κινέζικης προέλευσης, τους κωδικούς των προγραμμάτων, κτλ. Ερευνητές ασφαλείας βρήκαν και άλλα στοιχεία. Όλοι οι εξυπηρετητές C&C ήταν από μία μικρή, σχεδόν άγνωστη, κινέζικη εταιρία που διαφήμιζε ότι είναι γνωστοί στο ότι δε κρατάνε κανένα στοιχείο για το πως χρησιμοποιεί κανείς τους εξυπηρετητές που ενοικιάζουν. Η εταιρία αυτή βρίσκονταν στη πόλη Χεζέ της επαρχίας Σανντόνγκ στη Κίνα και εξαφανίστηκε όταν τα στοιχεία της επίθεσης βγήκαν στη δημοσιότητα. Επίσης, ανάλυση όλων των ενεργειών από όλες τις επιθέσεις έδειξε ότι όλη η δραστηριότητα ήταν μόνο εργάσιμες ημέρες, από τις 09:00 έως τις 17:00 ώρα Πεκίνου.

Τέλος, είναι αξιοσημείωτο ότι οι επιτιθέμενοι δεν έκλεβαν τυχαία δεδομένα από υπολογιστές υπαλλήλων στους οποίους είχαν πάρει πρόσβαση. Κινούνταν εντός του δικτύου μέχρι να πάρουν πρόσβαση στους υπολογιστές των διοικητικών στελεχών των οργανισμών και έκλεβαν μόνο ευαίσθητες πληροφορίες από αυτά τα συστήματα. Βλέπετε μία γενική εικόνα όσων περιγράψαμε παρακάτω όπου φαίνεται εν συντομία η επιχείρηση «Δράκος της Νύχτας».

Σήμερα οι κυβερνοεπιθέσεις της Κίνας έχουν γίνει πολύ πιο προηγμένες και πολύπλοκες. Άλλωστε μιλάμε για μία επίθεση που είναι κυριολεκτικά πριν από παραπάνω από 10 χρόνια. Ωστόσο, μέχρι και σήμερα λίγοι γνωρίζουν για αυτή την εντυπωσιακή επιχείρηση συλλογής πληροφοριών της Μονάδας 61398 και γι’αυτό θεωρήσαμε καλή ιδέα να το μοιραστούμε με τους αναγνώστες μας.

https://defensegr.wordpress.com/2018/07/11/monada-61398-epixeirhsh-drakos-ths-nyxtas/

No comments :