APT
Эксперты «Лаборатории Касперского» тщательно исследовали вредоносное ПО WinDealer, созданное APT-группировкой LuoYu. Самая интересная находка заключается в том, что злоумышленники, по всей видимости, освоили метод атаки man-on-the-side и успешно применяют его как для доставки зловреда, так и для связи командных серверов с уже зараженными компьютерами.
Что такое атака man-on-the-side и для чего она используется авторами WinDealer
Атака типа man-on-the-side подразумевает, что злоумышленник каким-то образом частично контролирует канал связи, что позволяет ему читать передаваемую информацию и внедрять собственную в чужой обмен данными.
На практике это может применяться следующим образом: злоумышленники перехватывают запрос на обновление совершенно легитимной программы и подсовывают ей вместо настоящего файла измененный, содержащий зловред. Именно так, по всей видимости, WinDealer чаще всего и распространяется.
Похожую уловку злоумышленники используют и для обеспечения безопасного процесса управления зараженным компьютером. Чтобы экспертам было сложнее вычислить командный сервер, в зловреде не прописан его точный адрес. Вместо этого он обращается к случайному IP-адресу из определенного диапазона, а атакующие перехватывают запрос и отвечают на него. В отдельных случаях WinDealer пытается обращаться по адресу, который в принципе не может существовать, но благодаря методу man-on-the-side получает ответ.
По мнению наших экспертов, для того чтобы этот трюк можно было успешно провернуть атакующим необходим постоянный доступ к роутерам целой подсети или же к каким-то продвинутым инструментам на уровне интернет-провайдеров.
За кем охотится WinDealer
Подавляющее большинство целей WinDealer находится в Китае: это иностранные дипломатические организации, члены академического сообщества, или компании задействованные в оборонном, логистическом или телекоммуникационном бизнесе. Впрочем, иногда заражение инструментами APT-группировки LuoYu регистрируется и в других странах: Германии, Австрии, США, Чешской Республике, России и Индии. В последние месяцы злоумышленники также стали интересоваться другими странами Восточной Азии и их китайскими представительствами.
Чем опасен WinDealer
Подробный технический анализ как самого зловреда, так и методов его доставки можно найти в посте на сайте Securelist. Вкратце, WinDealer обладает функциональностью современного шпионского ПО. Он умеет:
- манипулировать файлами и файловой системой (открывать, записывать и удалять файлы, cобирать данные о директориях и диске);
- собирать информацию об аппаратном обеспечении, сетевой конфигурации, процессах, раскладке клавиатур, установленных приложениях;
- скачивать и закачивать произвольные файлы;
- исполнять произвольные команды;
- проводить поиск по текстовым файлам и документам MS Office;
- делать снимки рабочего стола;
- сканировать локальную сеть;
- поддерживать функцию бэкдора;
- собирать данные о доступных сетях Wi-Fi (эта функция присутствовала как минимум в одном из обнаруженных нашими экспертами вариантах зловреда).
Как оставаться в безопасности
К сожалению, от атак типа man-on-the-side крайне сложно защититься на сетевом уровне. В теории может помочь постоянная связь через VPN, однако она доступна не везде. Поэтому для того, чтобы исключить заражение шпионским ПО, необходимо чтобы каждое устройство, имеющее доступ к Интернету, было обеспечено надежным защитным продуктом. Кроме того, решения класса EDR могут помочь выявить аномалии и остановить атаку на раннем этапе.
Советы