Secret Blizzard uhvaćen kako koristi pakistansku APT infrastrukturu za špijunažu

Napredna trajna prijetnja (eng. Advanced persistent threat – APT) poznata kao Secret Blizzard je razotkrivena zbog svojih tajnih operacija usmjerenih na vlade i istraživačke organizacije širom sveta. Prema nedavnim izvještajima Black Lotus Labs, istraživačkog tima kompanije Lumen i izvještajima kompanije Microsoft, otkriveno je da se ovaj zlonamjerni akter sa sjedištem u Rusiji infiltrirao u čvorove komande i kontrole (eng. command-and-control – C2) drugog zlonamjernog aktera, pakistanske grupe zlonamjernih aktera Storm-0156 i zadržao pristup više od protekle dvije godine.

Secret Blizzard

Secret Blizzard uhvaćen kako koristi pakistansku APT infrastrukturu za špijunažu; Source: Bing Image Creator

ŽRTVA INFILTRACIJE: STORM-0156

Storm-0156 zlonamjerna grupa, takođe prepoznat pod nazivima SideCopy i Transparent Tribe, aktivan je nekoliko godina, koristeći raznovrsne alate kao što su AllaKore i prilagođeni trojanci za daljinski pristup (eng. remote access trojan – RAT). Djelujući prvenstveno iz Pakistana, ovaj državno sponzorisani zlonamjerni akter je bio pod lupom raznih firmi za sajber bezbjednost već nekoliko godina zbog svog raznolikog i prilagodljivog pristupa sajber napadima. Njihov način djelovanja je pedantan i sistematičan, što ih čini ozbiljnim protivnikom u digitalnom prostoru.

Storm-0156 je pokazao impresivan niz alata koji su mu na raspolaganju, a koji je evoluirao tokom godina, sa nedavnom integracijom python zasnovanih alata na za Linux sisteme, što ukazuje na nivo sofisticiranosti i prilagodljivosti koji nije neuobičajen među državno sponzorisanim zlonamjernim akterima. Međutim, uprkos ovim promjenama, osnovne taktike, tehnike i procedure Storm-0156 grupe zlonamjernih aktera su ostale relativno dosljedne.

Primarni fokus angažovanja Storm-0156 grupe zlonamjernih aktera bile su regionalne vladine organizacije, sa stalnim interesovanjem za Avganistan i Indiju. Entiteti u domenu vlade, tehnologije i industrijskih kontrolnih sistema kao što su proizvodnja i distribucija električne energije su uobičajene mete za ovog zlonamjernog aktera. Ovaj široki obim interesovanja sugeriše da Storm-0156 grupe zlonamjernih aktera nije samo zainteresovana za ometanje tekućih operacija, već i za prikupljanje obavještajnih podataka radi ostvarivanja sopstvenih ciljeva.

Jedan jedinstveni aspekt načina rada Storm-0156 grupe zlonamjernih aktera leži u načinu na koji koristi odnose povjerenja. Jednom kada dobije pristup sistemu, često putem eksploatacije ili tehnika društvenog inženjeringa, manipuliše ovim odnosima povjerenja sa servera za komandu i kontrolu (C2) da bi se preselio u druge sisteme unutar mreže. Ovaj metod omogućava Storm-0156 grupi zlonamjernih aktera da krade podatke iz različitih čvorova na putu, primjenjujući zlonamjerni softver kao što su Waiscot i CrimsonRAT, koji se koriste za interakciju sa mrežama zasnovanim u Indiji.

Još jedna intrigantna karakteristika Storm-0156 grupe zlonamjernih aktera je njena sposobnost da radi neotkrivena tokom dužeg perioda zbog rutinskog brisanja podataka dnevnika, što je najbolja standardna praksa među zlonamjernim akterima. Ova taktika smanjuje izloženost i čini izazovom za sigurnosne istraživače da efikasno prate njihove aktivnosti. Međutim, kako sve više entiteta instalira bezbjednosne proizvode i otkriva ranije nepoznate eksploatacije i alate, veo oko operacija Storm-0156 grupe zlonamjernih aktera postepeno se podiže.

 

SECRET BLIZZARD INFILTRACIJA

Infiltracija u infrastrukturu Storm-0156 grupe zlonamjernih aktera od strane grupe zlonamjernih aktera poznate kao Secret Blizzard, označila je značajnu prekretnicu u njihovim operacijama na Bliskom istoku. Ovaj strateški potez omogućio je Secret Blizzard grupi zlonamjernih aktera da proširi svoj domet i uticaj na različite mreže, posebno na one u Avganistanu i Indiji.

Početna faza infiltracije Secret Blizzard grupe zlonamjernih aktera dogodila se krajem 2022. godine kada su dobili pristup jednom od servera za komandu i kontrolu (C2) Storm-0156 koji se koristi za skladištenje eksfiltriranih podataka sa avganistanskih i indijskih ciljeva. Ovaj server je služio kao kapija, pružajući Secret Blizzard grupi zlonamjernih aktera ulaznu tačku u širu infrastrukturu Storm-0156 grupe.

Vremenom, Secret Blizzard grupa zlonamjernih aktera je uspjela da proširi svoj domet na 33 čvora Storm-0156 grupe, efektivno preuzevši njihove operacije. Do sredine 2023. godine, iskoristili su ovaj privilegovani pristup za postavljanje sopstvenog zlonamjerni softvera, uključujući TwoDash softver za preuzimanje i Statuezy monitor međumemorije (eng. clipboard). Ovi alati su strateški ubačeni u mreže avganistanske vlade, kao što su Ministarstvo spoljnih poslova i Generalni direktorat za obavještajne poslove.

Ovaj metod rada omogućava Secret Blizzard grupi zlonamjernih aktera da održi nivo anonimnosti dok i dalje ostvaruju svoje ciljeve. Koristeći alate i pristup druge grupe, oni mogu zamagliti svoje operacije i zakomplikovati atribuciju – zaštitni znak njihovog zanata koji je viđen u više kampanja u posljednjih sedam godina.

Posljedice ove infiltracije su dalekosežne. Secret Blizzard grupa zlonamjernih aktera je uspjela da prikupi obavještajne podatke sa avganistanskih i indijskih mreža koristeći C2 servere Storm-0156 grupe, pružajući im dragocjene uvide u ove regione. Štaviše, takođe su bili u mogućnosti da kradu podatke iz čvorova na putu, potencijalno kompromitujući osjetljive informacije.

Ova infiltracija Storm-0156 grupe je svjedočanstvo o prilagodljivosti i snalažljivosti Secret Blizzard grupe zlonamjernih aktera. Koristeći infrastrukturu druge grupe, uspeli su da prošire svoje operacije na nove teritorije i povećaju svoj ukupni uticaj na digitalni pejzaž.

 

SECRET BLIZZARD: ALATI I TAKTIKE

Secret Blizzard grupa zlonamjernih aktera je po svom širokom arsenalu prilagođenih alata i inovativnih metoda. Jedna od najistaknutijih taktika ove grupe uključuje otmicu infrastrukture. Oni vrše prenamjenu rivalskih servera za komandu i kontrolu (C2) za skladištenje i upravljanje njihovim primjenama zlonamjernog softvera, kamuflirajući svoje aktivnosti kao one originalnih operatera. U nastavku će biti riječi o nekim od zlonamjernih softvera koje ova grupa koristi:

 

CrimsonRAT Backdoor

Ovo je jedan od alata koji je Secret Blizzard grupa zlonamjernih aktera preuzela, a koji pripada Storm0156 operaterima. CrimsonRAT Backdoor trojanac za daljinski pristup (RAT) omogućava zlonamjernim akterima da kontrolišu kompromitovane sisteme na daljinu i obavljaju razne zlonamjerne aktivnosti kao što su eksfiltracija podataka, praćenje korisničkog unosa (eng. keylogging) i izvršavanje dodatnih korisnih podataka (eng. payloads).

 

TinyTurla

TinyTurla je sofisticirana modularna porodica zlonamjernog softvera koja je povezana sa kampanjama Secret Blizzard grupe zlonamjernih aktera. Koristi kombinaciju tehnika kao što su DLL otmica, spearphishing elektronske poruke sa zlonamjernim prilozima i iskorištavanje ranjivosti u softveru za infekciju ciljeva.

 

MiniPocket

MiniPocket je zlonamjerni softver koji je otkrila kompanija Microsoft za koji je primijećeno da ga Secret Blizzard grupa zlonamjernih aktera koristi za svoje špijunske aktivnosti. Ovaj zlonamjerni softver je poznat po svojoj sposobnosti da izbjegne detekciju antivirusnih rješenja i izvrši razne zlonamjerne radnje, kao što je eksfiltracija podataka i izvršavanje dodatnih korisnih podataka na kompromitovanim sistemima.

 

TwoDash

TwoDash je backdoor napravljen po mjeri, a Secret Blizzard grupa zlonamjernih aktera koristi ga u svojim operacijama. Koristi tehnike slične onima koje koristi Storm0156, kao što je DLL otmica pomoću alata kao što je credwiz.exe, kako bi ostao neotkriven i održao postojanost na kompromitovanim sistemima.

 

Andromeda

Iako nije direktno povezan sa Secret Blizzard grupom zlonamjernih aktera, primijećeno je da se zlonamjerni softver Andromeda koristi u kombinaciji sa drugim alatima od strane ovog zlonamjernog aktera. Ovaj modularni botnet je sposoban za preuzimanje dodatnih korisnih podataka i obavljanje raznih zlonamjernih aktivnosti na kompromitovanim sistemima.

 

KopiLuwak

KopiLuwak, takođe poznat kao CoffeeMoker ili Plankton, je po narudžbi napravljen backdoor sa kojom je Secret Blizzard grupa zlonamjernih aktera povezana. Koristi napredne tehnike za izbjegavanje otkrivanja i održavanje postojanosti na kompromitovanim sistemima, što otežava sigurnosnim istraživačima da analiziraju njegovo unutrašnje funkcionisanje.

 

QuietCanary

QuietCanary je zlonamjerni softver za krađu informacija koji koristi Secret Blizzard grupa zlonamjernih aktera u svojim kampanjama. Ovaj alat je dizajniran da prikupi osjetljive podatke iz kompromitovanih sistema i eksfiltrira ih nazad na servere za komandu i kontrolu (C2) zlonamjernog aktera radi dalje analize.

 

Tavdig

Tavdig je prilagođeni zlonamjerni softver koji koristi Secret Blizzard grupa zlonamjernih aktera i koji je primijećen u njihovim operacijama protiv ciljeva u Avganistanu. Omogućava zlonamjernim akterima da zadrže dugoročni pristup kompromitovanim sistemima i obavljaju razne zlonamjerne aktivnosti, kao što su eksfiltracija podataka i izvršavanje dodatnih korisnih podataka.

 

KazuarV2

KazuarV2 je backdoor napravljen po mjeri sa kojim je Secret Blizzard grupa zlonamjernih aktera povezana u svojim operacijama protiv meta u Indiji. Ovaj alat koristi prikrivene tehnike da izbjegne otkrivanje, što sugeriše da Secret Blizzard grupa zlonamjernih aktera daje prednost održavanju niskog profila u odnosu na direktan upad kada djeluje u ovom regionu.

 

Taktike

Secret Blizzard grupa zlonamjernih aktera koristi specifičnu taktiku koja uključuje dobijanje neovlaštenog pristupa sistemima ili mrežama trećih strana, bilo putem prikrivenih sredstava kao što je krađa akreditiva ili kupovina pristupa, sa namjerom da se uspostavi uporišta špijunske vrijednosti.

Pristup ove grupe zlonamjernih aktera nije ograničen samo na ovu metodu, već takođe pokazuje strateško i prilagodljivo ponašanje u njihovim sajber operacijama. Oni su primijećeni da koriste različitie vektora napada, uključujući kompromitovanje na strani servera, kompromitovanje na ivičnim uređajima, spearphishing, strateške internet kompromise – napadi vrebajućeg mjesta (eng. watering holes) i kampanje protivnik u sredini (eng. adversary-in-the-middle – AiTM).

Upotreba ovih raznovrsnih taktika omogućava Secret Blizzard grupi zlonamjernih aktera da uspostavi višestruka uporišta unutar mreže od interesa, olakšavajući dalje bočno kretanje i prikupljanje obavještajnih podataka tokom dužeg perioda. Ovaj pristup je posebno očigledan u njihovim aktivnostima, gdje su primijećeni kako koriste kampanje za preuzimanje svojih backdoor alata na ciljne uređaje.

Interesantan aspekt taktike Secret Blizzard grupe zlonamjernih aktera je njena sklonost da iskoristi pristup drugih protivnika. Ova strategija je primijećena u različitim slučajevima kada je ova grupa zlonamjernih aktera pristupila alatima i infrastrukturi koji pripadaju drugim zlonamjernim akterima, kao što je iranski sponzorisana grupa zlonamjernih aktera Hazel Sandstorm (takođe poznata kao OilRig, APT34 i Crambus) ili kazahstanska sponzorisana grupa zlonamjernih aktera Storm-0473. Na taj način, Secret Blizzard grupa zlonamjernih aktera može uspostaviti uporište na mrežama od interesa uz minimalan napor, proširujući svoje mogućnosti prikupljanja obavještajnih podataka bez privlačenja nepotrebne pažnje na sebe.

Taktika krađe pristupa i uspostavljanja uporišta ima višestruku svrhu za Secret Blizzard grupu zlonamjernih aktera. Prvo, omogućava im dugoročni pristup sistemima za prikupljanje obavještajnih podataka, posebno fokusirajući se na napredna istraživanja i informacije od političkog značaja. Drugo, ovaj pristup im omogućava da zaobiđu tradicionalne mjere bezbjednosti i pomiješaju svoje aktivnosti sa aktivnostima legitimnih korisnika ili drugih zlonamjernih aktera, što otkrivanje čini izazovnijim.

Međutim, važno je napomenuti da ovaj pristup ima i prednosti i nedostatke. S jedne strane, korištenje kampanja drugih zlonamjernih aktera omogućava Secret Blizzard grupi zlonamjernih aktera da zaobiđe neke početne mehanizme detekcije i uspostavi prisustvo brže nego kada bi svoje operacije sprovodili nezavisno. S druge strane, pošto su ova uporišta uspostavljena na interesnim ciljevima drugog zlonamjernog aktera, dobijene informacije možda nisu u potpunosti usklađene sa prioritetima prikupljanja Secret Blizzard grupe zlonamjernih aktera. Ovo potencijalno može dovesti do propuštenih prilika ili praznina u prikupljanju obavještajnih podataka.

Pored toga, sigurnosni istraživači procjenjuju, da iako ovaj metod ima neke prednosti koje bi mogle da navedu više zlonamjernih aktera da ga prihvate, on je manje efikasan protiv ojačanih mreža gdje robusna krajnja tačka i odbrana mreže omogućavaju blagovremeno otkrivanje i sanaciju aktivnosti od strane više zlonamjernih aktera.

 

SECRET BLIZZARD UTICAJ

Secret Blizzard grupa zlonamjernih aktera prvenstveno cilja na ministarstva spoljnih poslova, ambasade, vladine kancelarije, odjeljenja odbrane i kompanije koje se bave odbrambenim sektorom širom sveta. Ovaj široki opseg obuhvata širok spektar entiteta koji drže osjetljive informacije u vezi sa političkim pitanjima, vojnim strategijama i naprednim istraživanjima.

Fokusirajući se na ove vertikale, ova grupa zlonamjernih aktera traži obavještajne podatke koji bi potencijalno mogli da utiču na međunarodnu politiku ili da pruže prednost u procesima strateškog donošenja odluka. Ova priroda njihovih meta sugeriše da bi njihove aktivnosti mogle imati dalekosežne posljedice po različite zemlje, jer mogu da pristupe i kradu osvetljive informacije od više vlada i odbrambenih organizacija širom sveta.

Geografska distribucija aktivnosti Secret Blizzard grupa zlonamjernih aktera nije ograničena na bilo koji određeni region, jer je primijećeno da ciljaju entitete širom Evrope, bivše sovjetske države i druge dijelove sveta. Njihov fokus na prikupljanje političkih obavještajnih podataka sugeriše da bi mogli biti zainteresovani za uticaj ili prikupljanje informacija o međunarodnoj politici, što bi potencijalno moglo da utiče na globalnu stabilnost i bezbjednost.

 

ZAKLJUČAK

U oblasti sajber špijunaže, mali broj entiteta je uspeo da održi tako široko i prikriveno prisustvo kao Secret Blizzard grupa zlonamjernih aktera. Ovaj zagonetni zlonamjerni akter je dosljedno ciljao ministarstva spoljnih poslova, ambasade, vladine kancelarije, odjeljenja odbrane i kompanije koje se odnose na odbranu širom sveta, sa posebnim fokusom na prikupljanje obavještajnih podataka u političke svrhe. Strategiju širenja Secret Blizzard grupe zlonamjernih aktera karakteriše njen pedantan i sistematičan pristup, što je pokazano u njihovim operacijama u posljednje dvije godine.

Značajan aspekt ovih operacija je sklonost ove grupe zlonamjernih aktera da iskoriste alate ili kompromitovanu infrastrukturu drugih protivnika koje su javno poznati proizvođačima bezbjednosnih alata. Ova taktika, iako nije jedinstvena u sajber špijunaži, pomalo je neobična, jer im omogućava da prošire svoje mogućnosti i domet bez ulaganja značajnih resursa u razvoj novih eksploatacija ili zlonamjernog softvera.

Ranjivosti krajnjih uređaja unutar samih država, kao i drugih zlonamjernih aktera, pa i onih držano sponzorisanih na napade Secret Blizzard grupe zlonamjernih aktera samo doprinosi uspjehu ove grupe. Ovim entitetima često nedostaju moderni bezbjednosni stekovi za praćenje pristupa i zaštitu od eksploatacije, što ih čini glavnim metama za zlonamjerne aktere kao što je Secret Blizzard grupa zlonamjernih aktera. Pored toga, rutinsko brisanje podataka dnevnika od strane ove grupe zlonamjernih aktera smanjuje njihovu izloženost, jer čini pripisivanje i otkrivanje izazovnijim.

Kako se ove kampanje sajber špijunaže razvijaju i nastavljaju, postajući sve sofisticiranije, od suštinske je važnosti za organizacije i nacije da ostanu budne protiv ovakvih prijetnji i razviju strategije za efikasno suprotstavljanje njima.

 

ZAŠTITA

Kako bi se zaštitili od potencijalnih prijetnji koje predstavlja Secret Blizzard grupa zlonamjernih aktera, ključno je primijeniti višeslojnu strategiju odbrane. Evo nekoliko preporuka:

  1. Ojačajte položaj bezbjednosti krajnjih uređaja primjenom sljedećih mjera:
    • Blokirati izvršavanje potencijalno zamagljenih skripti i kreiranja procesa koji potiču iz PSExec i WMI komandi da bi se priječilo neovlašteno izvršavanje skripte,
    • Primijeniti pristup liste dozvoljenih aplikacija za izvršne datoteke, dozvoljavajući samo pouzdanim aplikacijama da se pokreću na krajnjim uređajima. Ovo može pomoći da se ublaži rizik koji predstavlja nepoznati ili zlonamjerni softveri,
    • Omogućite rješenja za zaštitu mreže koja prate i kontrolišu mrežni saobraćaj u realnom vremenu, pomažući otkrivanje i blokiranje sumnjivih aktivnosti pre nego što one ugroze sistem,
  2. Serveri su često meta zbog njihove osjetljive prirode. Da bi se serveri zaštitili od Secret Blizzard grupe zlonamjernih aktera:
    • Blokirati Webshell kreiranje za servere, jer je to uobičajena metoda koju koriste zlonamjerni akteri za dobijanje neovlaštenog pristupa i kontrole nad sistemima,
    • Uvjeriti se da su aplikacije na strani servera ažurne, jer zastareli softver može sadržati poznate ranjivosti koje su iskoristili zlonamjerni akteri,
  3. Sprovesti segmentaciju mreže da bi se izolovali kritična sredstva od ostatka mreže. Ovo će ograničiti mogućnost zlonamjernog aktera da se kreće bočno unutar mreže i pristupa osjetljivim resursima,
  4. Obučiti korisnike da prepoznaju phishing elektronsku poštu, taktike društvenog inženjeringa i prakse bezbjednog pregledanja. Korisnici su često najslabija karika u odbrambenom lancu sajber bezbjednosti, a njihovo obrazovanje može pomoći u sprečavanju mnogih potencijalnih napada,
  5. Razvijati plan odgovora na sajber prijetnju kako bi se osiguralo da je organizacija spremna da efikasno reaguje na sve bezbjednosne incidente. Ovo bi trebalo da uključuje procedure za identifikaciju, obuzdavanje, iskorjenjivanje, oporavak i učenje od događaja iz sajber bezbjednosti,
  6. Redovno provjeravati mrežnu infrastrukturu, aplikacije i ponašanje korisnika u potrazi za ranjivostima koje bi mogli da iskoriste zlonamjerni akteri Secret Blizzard grupe ili drugi zlonamjerni akteri. Pored toga, vršite periodično testiranje penetracije da bi se simulirali napadi u stvarnom svetu i identifikovali oblasti poboljšanja strategije odbrane,
  7. Kada se radi sa trećim stranama, uvjeriti se da se pridržavaju strogih bezbjednosnih standarda i redovno provjeravati njihove prakse u potrazi za potencijalnim ranjivostima koje bi mogli da iskoriste zlonamjerni akteri Secret Blizzard grupe ili drugi zlonamjerni akteri,
  8. Potrebna je saradnja sa kolegama iz industrije, organizacijama za dijeljenje informacija i agencijama za sprovođenje zakona da bi se ostalo informisanim o najnovijim prijetnjama koje predstavljaju grupe kao što je Secret Blizzard grupa zlonamjernih aktera i najboljim praksama za ublažavanje njihovih aktivnosti. Ovo će pomoći da se prilagodi strategija odbrane kako se pojavljuju nove taktike, tehnike i procedure.

Primjenom ovih preporuka moguće je značajno smanjiti rizik od uspješnog napada Secret Blizzard grupe zlonamjernih aktera ili drugih prijetnji koje ciljaju mrežnu infrastrukturu organizacija.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.