Kampaň IndigoZebra APT Hacking sa zameriava na afganskú vládu

Výskumníci v oblasti kybernetickej bezpečnosti varujú pred pokračujúcimi útokmi koordinovanými podozrivým čínsky hovoriacim aktérom zameraným na afganskú vládu v rámci špionážnej kampane, ktorá mohla mať svoj pôvod už v roku 2014.

Izraelská firma Check Point Research zaoberajúca sa kybernetickou bezpečnosťou pripísala útoky hackerskej skupine sledovanej pod prezývkou „IndigoZebra“, ktorej minulé aktivity boli zamerané na iné stredoázijské krajiny vrátane Kirgizska a Uzbekistanu.

„Aktéri hrozieb, ktorí stoja za špionážou, využili Dropbox, populárnu službu cloudového úložiska, aby infiltrovali Afganskú národnú bezpečnostnú radu (NSC),“ uviedli vedci v technickom zázname zdieľanom s The Hacker News a dodali, že „organizovali ministerstvo“. Klamanie v štýle ministerstva, kde je e-mail odoslaný vysokopostavenému cieľu z poštových schránok inej vysokopostavenej obete.“

IndigoZebra sa prvýkrát objavila v auguste 2017, keď spoločnosť Kaspersky podrobne opísala tajnú operáciu, ktorá vyčlenila bývalé sovietske republiky so širokým spektrom malvéru, ako sú Meterpreter, Poison Ivy RAT, xDown a predtým nezdokumentovaný malvér s názvom xCaon.

Vyšetrovanie útokov Check Point sa začalo v apríli, keď predstavitelia NSC začali dostávať e-maily s návnadami, ktoré údajne pochádzajú z administratívneho úradu prezidenta Afganistanu.

Zatiaľ čo správa naliehala na príjemcov, aby si prezreli úpravy v priloženom dokumente týkajúceho sa čakajúcej tlačovej konferencie NSC, zistilo sa, že otvorenie súboru návnady – archív RAR chránený heslom („NSC Press conference.rar“) – spúšťa infekčný reťazec, ktorý vyvrcholilo inštaláciou backdoor (“spools.exe”) na cieľovom systéme.

Útoky navyše priviedli škodlivé príkazy do stroja obete, ktoré boli maskované pomocou rozhrania Dropbox API, pričom implantát vytvoril jedinečný priečinok pre každého napadnutého hostiteľa v účte Dropbox kontrolovanom útočníkom.

Zadné vrátka s názvom „BoxCaon“ sú schopné ukradnúť dôverné údaje uložené v zariadení, spustiť ľubovoľné príkazy a preniesť výsledky späť do priečinka Dropbox. Samotné príkazy (“c.txt”) sú umiestnené v samostatnom podpriečinku s názvom “d” v priečinku Dropbox obete, ktorý malvér získa pred spustením.

Spojenie BoxCaonu s IndigoZebrou pramení z podobností zdieľaných malvérom s xCaonom. Check Point uviedol, že identifikoval asi 30 rôznych vzoriek xCaon – prvé z roku 2014 – z ktorých všetky sa spoliehajú na protokol HTTP pre komunikáciu príkazov a riadenia.

Telemetrické údaje analyzované výskumníkmi tiež zistili, že varianty HTTP sa zameriavajú predovšetkým na politické subjekty nachádzajúce sa v Kirgizsku a Uzbekistane, čo naznačuje posun v zacielení v posledných rokoch spolu s prepracovanou sadou nástrojov.

“Je pozoruhodné, ako aktéri hrozieb využili taktiku klamania medzi ministerstvami,” povedal Lotem Finkelsteen, vedúci spravodajstva o hrozbách v Check Point.

“Táto taktika je zlomyseľná a účinná v tom, že prinúti kohokoľvek, aby za vás urobil čokoľvek; a v tomto prípade bola zákerná aktivita zaznamenaná na najvyšších úrovniach suverenity. Okrem toho je pozoruhodné, ako aktéri hrozieb využívajú Dropbox, aby sa maskovali pred odhalením.”