Το τμήμα έρευνας της Check Point Software, Check Point Research (CPR), έχει εντοπίσει μια συνεχή επιχείρηση κατασκοπείας στον κυβερνοχώρο με στόχο την Αφγανική κυβέρνηση. Η θεωρούμενη κινεζική ομάδα χάκερ, υποδύθηκε το Γραφείο του Προέδρου του Αφγανιστάν για να διεισδύσει στο Συμβούλιο Εθνικής Ασφάλειας του Αφγανιστάν (Afghan National Security Council – NSC) και χρησιμοποίησε το Dropboxγια να καλύψει τις δραστηριότητές της. Η CPR πιστεύει ότι αυτή είναι η τελευταία πράξη μιας μακροχρόνιας επιχείρησης που χρονολογείται από το 2014, κατά την οποία θύματα ήταν και τα Κιργιζιστάν και Ουζμπεκιστάν.
 

•    Οι δράστες στέλνουν ένα ψεύτικο μήνυμα ηλεκτρονικού ταχυδρομείου με το οποίο προτρέπουν να λάβουν μέρος σε μια επερχόμενη συνέντευξη Τύπου που διοργανώνει η NSC
•    Χρησιμοποιούν το Dropbox για να μην εντοπιστούν, αξιοποιώντας το API ως το κέντρο εντολών και ελέγχου τους
•    Η CPR έχει εντοπίσει κακόβουλες ενέργειες από χάκερ, όπως την πρόσβαση σε αρχεία στο desktop των θυμάτων, την ανάπτυξη εργαλείου σάρωσης και την εκτέλεση ενσωματωμένων εργαλείων δικτύωσης των Windows
 

Η Check Point Research (CPR) έχει διαπιστώσει μια συνεχή επιχείρηση κατασκοπείας στον κυβερνοχώρο με στόχο την Αφγανική κυβέρνηση. Πίσω από αυτή θεωρείται ότι είναι η κινεζική ομάδα χάκερ γνωστή ως “IndigoZebra”, η οποία χρησιμοποίησε το Dropbox, τη δημοφιλή υπηρεσία αποθήκευσης cloud, για να διεισδύσει στο Αφγανικό Συμβούλιο Εθνικής Ασφάλειας (Afghan National Security Council – NSC). Περαιτέρω έρευνα από την CPR αποκάλυψε ότι αυτή είναι η πιο πρόσφατη πράξη σε μια μακροχρόνια δραστηριότητα που στοχεύσει από το 2014 και άλλες χώρες της Κεντρικής Ασίας, το Κιργιστάν και το Ουζμπεκιστάν,.
 

«Από το γραφείο του Προέδρου του Αφγανιστάν»

Η έρευνα της CPR ξεκίνησε τον Απρίλιο, όταν ένας αξιωματούχος στο Συμβούλιο Εθνικής Ασφάλειας του Αφγανιστάν έλαβε ένα email υποτίθεται από το Διοικητικό Γραφείο του Προέδρου του Αφγανιστάν. Το email καλούσε τον παραλήπτη να επανεξετάσει τις τροποποιήσεις στο έγγραφο που σχετιζόταν με μια επερχόμενη συνέντευξη τύπου από το NSC.


 
 
 
Η αλυσίδα μόλυνσης ξεκινά με εξαπάτηση από Υπουργείο σε Υπουργείο
 

Η CPR συνοψίζει τη μεθοδολογία της κατασκοπείας στον κυβερνοχώρο στα ακόλουθα βήματα:

1.    Αποστολή email υποδυόμενος πρόσωπο υψηλού προφίλ. Οι χάκερ ενορχηστρώνουν μια εξαπάτηση από υπουργείο σε υπουργείο, όπου ένα emailαποστέλλεται σε έναν στόχο υψηλού προφίλ από τις θυρίδες ενός άλλου θύματος υψηλού προφίλ.
2.    Κακόβουλο συνημμένο. Οι χάκερ προσθέτουν ένα αρχείο αρχειοθέτησης που περιέχει κακόβουλο λογισμικό, αλλά προσποιείται ότι είναι ένα νόμιμο συνημμένο. Σε αυτήν την περίπτωση, το email περιείχε ένα αρχείο RAR που προστατευόταν με κωδικό πρόσβασης με την ονομασία NSC Press conference.rar.
3.    Το πρώτο έγγραφο ανοίγει. Το εξαγόμενο αρχείο, NSC Press conference.exe, λειτουργεί ως σταγονόμετρο. Το περιεχόμενο του email που έχει σταλεί ως δέλεαρ υποδηλώνει ότι το συνημμένο αρχείο είναι το έγγραφο, επομένως, για να μειώσει όποιες υποψίες που θα είχε το θύμα, οι εισβολείς χρησιμοποιούν ένα απλό τέχνασμα: το πρώτο έγγραφο στην επιφάνεια εργασίας του θύματος είναι ανοιχτό για το χρήστη κατά την εκτέλεση του. Οπότε, είτε το σταγονόμετρο βρει ένα έγγραφο για άνοιγμα είτε όχι, θα προχωρήσει στο επόμενο στάδιο – θα ρίξει την πίσω πόρτα.
4.    Χρήση του Dropbox ως κέντρο εντολών και ελέγχου. Το backdoor επικοινωνεί με έναν προκαθορισμένο και μοναδικό φάκελο σε κάθε θύμα στο Dropbox. Αυτό χρησιμεύει ως η διεύθυνση όπου η πίσω πόρτα αντλεί περαιτέρω εντολές και αποθηκεύει τις πληροφορίες που κλέβει.

 


 

 
 
 
Μεταμφίεση και Επιμονή με το Dropbox
 

Οι παράγοντες απειλής χρησιμοποιούν το Dropbox API για να καλύψουν τις κακόβουλες δραστηριότητές τους, καθώς δεν πραγματοποιείται επικοινωνία με μη φυσιολογικούς ιστότοπους. Η πίσω πόρτα που έχει δημιουργηθεί από τους παράγοντες απειλής δημιουργεί έναν μοναδικό φάκελο για το θύμα σε έναν λογαριασμό Dropbox που ελέγχεται από τον εισβολέα. Όταν οι παράγοντες απειλής πρέπει να στείλουν ένα αρχείο ή εντολή στον υπολογιστή του θύματος, το τοποθετούν στο φάκελο με το όνομα “d” στο φάκελο Dropbox του θύματος. Το κακόβουλο λογισμικό ανακτά αυτόν τον φάκελο και κατεβάζει όλα τα περιεχόμενά του στον φάκελο εργασίας. Το backdoor δημιουργεί επιμονή, ορίζοντας ένα κλειδί μητρώου που έχει σχεδιαστεί για να εκτελείται όποτε συνδέεται ένας χρήστης.

 
Ενέργειες κατασκοπείας στον κυβερνοχώρο που εντοπίστηκαν από το CPR
 

Σε αυτήν την επίθεση, μερικές από τις ενέργειες που εντόπισε η CPR περιελάμβαναν:
·         Λήψη και εκτέλεση ενός εργαλείου σαρωτή που χρησιμοποιείται ευρέως από πολλούς APT χάκερ, συμπεριλαμβανομένης της παραγωγικής Κινεζικής ομάδας APT10
·         Εκτέλεση ενσωματωμένων εργαλείων δικτύωσης Windows
·         Πρόσβαση στα αρχεία του θύματος και ειδικά σε έγγραφα που βρίσκονται στην επιφάνεια εργασίας
Στόχοι: Αφγανιστάν, Κιργιστάν και Ουζμπεκιστάν
Ενώ η CPR είδε αυτή την παραλλαγή του Dropbox να στοχεύει αξιωματούχους της κυβέρνησης του Αφγανιστάν, οι χάκερ επικεντρώνονται σε πολιτικές οντότητες σε δύο συγκεκριμένες χώρες της Κεντρικής Ασίας, το Κιργιζιστάν και το Ουζμπεκιστάν. Η CPR παρέχει συγκεκριμένους δείκτες της θυματολογίας στην τεχνική της έκθεση.

 
Δήλωση του Lotem Finkelsteen, Head of Threat Intelligence, Check Point Software

«Η ανίχνευση της κατασκοπείας στον κυβερνοχώρο εξακολουθεί να αποτελεί κορυφαία προτεραιότητα για εμάς. Αυτή τη φορά, εντοπίσαμε μια συνεχιζόμενη καμπάνια ηλεκτρονικού ψαρέματος (phear-phishing) που στοχεύει την Αφγανική κυβέρνηση. Έχουμε λόγους να πιστεύουμε ότι το Ουζμπεκιστάν και το Κιργιστάν έχουν επίσης πέσει θύματα. Έχουμε αποδώσει τα ευρήματά μας σε ομάδα χάκερ που ομιλεί την Κινεζική γλώσσα. Αυτό που είναι αξιοσημείωτο εδώ είναι πώς οι παράγοντες της απειλής χρησιμοποίησαν την τακτική της εξαπάτησης από υπουργείο σε υπουργείο. Αυτή η τακτική είναι επικίνδυνη και αποτελεσματική,  στο να κάνεις τον οποιονδήποτε να κάνει οτιδήποτε για σένα- και σε αυτήν την περίπτωση, η κακόβουλη δραστηριότητα παρατηρήθηκε στα υψηλότερα επίπεδα κυριαρχίας. Επιπλέον, είναι αξιοσημείωτο πώς οι απειλητικοί δράστες χρησιμοποιούν το Dropboxγια να καλύψουν τα ίχνη τους και να αποφίγουν τον εντοπισμό, μια τεχνική που πιστεύω ότι πρέπει όλοι να γνωρίζουμε και την οποία πρέπει όλοι να προσέχουμε. Είναι πιθανό και άλλες χώρες να έχουν στοχευτεί από αυτήν την ομάδα χάκερ, αν και δεν γνωρίζουμε πόσες ή ποιες. Ως εκ τούτου, μοιραζόμαστε μια λίστα με άλλους πιθανούς τομείς που χρησιμοποιούνται στην επίθεση, με την ελπίδα ότι τα ονόματά τους μπορούν να αξιοποιηθούν από άλλους ερευνητές στον κυβερνοχώρο για να συμβάλουν στα δικά μας ευρήματα. “