Согласно опубликованному исследованию компанииTrendMicro, одна из элитных иранских хакерских групп, спонсируемых государством - APT33, создала свою собственную частную сеть VPN из 21 узла, которую они используют для подключения к хакерской инфраструктуре и проведения разведки будущих целей.
Эта группа, отслеживаемая в кругах кибербезопасности под кодовым названием APT33, на сегодняшний день является самым известным хакерским подразделением Ирана.
Именно они разработали вредоносное ПО для фрагментации дисков, известное как Shamoon (DistTrack), которое уничтожило более 35 000 рабочих станций в Саудовской Аравии в 2012 году.
Недавно группа вновь отметилась новыми атаками, в первую очередь на нефтяную и авиационную отрасли и даже развертыванием новой версии вредоносного ПО Shamoon в конце прошлого года.
В 2019 году операции APT33 основывались на классических операциях фишинг-атак и иногда на использовании одной из уязвимости Microsoft Outlook.
Согласно Trend Micro, подтвержденные взломы APT33 в 2019 году включают: частную американскую компанию, которая оказывает услуги, связанные с национальной безопасностью, жертв, которые подключались к сетям университетов и колледжей в США, одну жертву, связанную с американскими военными силами, и несколько жертв на Среднем Востоке и Азии.
Отслеживание инфраструктуры APT33
Исследуя эти хаки, специалисты Trend Micro смогли понять, как APT33 управляет своей инфраструктурой. По из словам, все управление является многослойным и изолированным, чтобы держать действия группы APT33 под покровом секретности.
На основе нарисованной от руки схемы, используемой исследователями TrendMicro, существует четыре уровня между операторами APT33 и их целями.
- Уровень VPN - специально построенная сеть узлов VPN, созданная, чтобы скрыть реальный IP-адрес и местоположение оператора.
- Уровень Bot Controller - промежуточный уровень серверов
- Уровень сервера C&C - фактически, это внутренние серверы, через которые группа управляет своими вредоносными ботнетами.
- Уровень прокси - набор облачных прокси-серверов, через которые сервер C&C скрываются от зараженных хостов.
Но что бросилось в глаза исследователям, так это то, что APT33 не использовал коммерческие VPN-серверы, чтобы скрыть свое местоположение, как это делают некоторые хакерские группы. Вместо этого группа создала и разработала в собственную частную сеть VPN.
«Поднять частную VPN сеть можно легко, арендовав пару серверов у дата центров по всему миру, и используя опенсорсное ПО, например, такое как как OpenVPN», - говорят исследователи.
Создание собственной VPN сети было большой ошибкой APT33
Операторы APT33 не знали, что на самом деле их хитрый ход только облегчил их отслеживание. При такой конфигурации охотники за хакерами должны были следить только за несколькими IP-адресами. Если бы APT33 использовал коммерческую сеть VPN-провайдера, их трафик просто растворился бы среди прочего легального трафика коммерческого сервера.
«Мы отслеживаем некоторые из VPN-нод этой группы более года, и мы перечислили известные IP-адреса в этой таблице».
Но, помимо подключения к панелям управления своими ботнетами, TrendMicro сообщила также , что группа использовала те же частные ноды VPN для разведки сетей, имеющих отношение к цепочке поставок нефтяной промышленности.
«Более конкретно, мы стали свидетелями того, как некоторые из IP-адресов в Таблице 3 проводили разведку в сети одной нефтедобывающей компании, военных госпиталей на Ближнем Востоке и нефтяной компании в США», - сказали исследователи.
«APT33 также проявляет интерес к веб-сайтам, которые специализируются на подборе сотрудников в нефтегазовой отрасли», - сказали в команде Trend Micro. «Мы рекомендуем компаниям нефтегазовой отрасли сверить логи безопасности с этими IP-адресами, на предмет попыток проникновения с них».
Кроме того, Trend Micro сообщил, что APT33 также использовали свою частную сеть VPN для доступа к веб-сайтам компаний, занимающихся тестированием на взлом, почтовым веб сервисам, веб-сайтам об уязвимостях и сайтам по взлому криптовалют.
Источник: ZDnet(англ.)