Operacja Arachnofobia

Firma FireEye współpracowała niedawno z zespołem badawczym ThreatConnect Intelligence Research Team (TCIRT) nad przygotowywaniem kolejnego raportu dotyczącego aktywności grupy cyberprzestępców, która wydaje się pochodzić z Pakistanu. Zespół TCIRT po raz pierwszy informował o jej działaniach w sierpniu 2013 r. we wpisie na blogu zatytułowanym „Where There is Smoke, There is Fire” (Nie ma dymu bez ognia). Funkcjonujący w ramach firmy Cyber Squared Inc. zespół TCIRT monitoruje szereg grup przestępczych na całym świecie.

Latem 2013 r. ekipa TCIRT po raz pierwszy zidentyfikowała podejrzaną grupę zagrożeń pochodzących z Pakistanu. Informacje o niej zostały podane do wiadomości publicznej w sierpniu 2013 r. W kolejnych miesiącach FireEye natrafił na nową aktywność cyberprzestępców. Dlatego firma Cyber Squared skontaktowała się z ekspertami z FireEye Labs, aby przeanalizować nowe spostrzeżenia i spróbować przeprowadzić nowe analizy oraz wyciągnąć wnioski na temat podejrzanej grupy i realizowanej przez nią operacji „Arachnofobia”. Efektem wspólnych badań i analiz wykonanych przez zespół TCIRT z firmy Cyber Squared Inc. oraz dział FireEye Labs. jest raport przedstawiający analizę ataku.

Wspomniana grupa przestępcza wykorzystuje oprogramowanie typu „malware” i specjalne pułapki mające spore szanse na powodzenie w przypadku celów w Indiach: to notatka służbowa hinduskiego ministerstwa obrony dotycząca emerytur i przynęta w postaci informacji dotyczących Sarabjita Singha, obywatela Indii, który zmarł w ubiegłym roku w pakistańskim więzieniu.

Współpraca firmy FireEye z zespołem ThreatConnect koncentrowała się na technicznej analizie oprogramowania typu „malware” o nazwie BITTERBUG i innych technicznych cechach aktywności przestępców. Ekipa ThreatConnect dostarczyła szczegółowe analizy danych open source, aby wskazać interesujące detale personalne i organizacyjne. Analitycy FireEye Labs monitorowali również aktywność grupy, aby zidentyfikować i obserwować stworzoną przez nią rodzinę oprogramowania typu „malware” (BITTERBUG) i stosowane serwery sterujące C2 (command and control).

W raporcie wskazano również nowe czynniki, które budzą kolejne podejrzenia, że to Pakistan jest źródłem ataków.

Najważniejsze wnioski

  • Choć nie wiążemy aktywności oprogramowania BITTERBUG definitywnie z firmą Tranchulas ani innym konkretnym podmiotem z Pakistanu, możemy z całą pewnością wskazać wiele cech charakterystycznych dla działań pakistańskich cyberprzestępców, które są prawdopodobnie wymierzone przeciwko celom w Indiach i/lub osobom zaangażowanym w spory między Indiami a Pakistanem.

  • Cyberprzestępcy wykorzystali dostawcę usług hostingowych — firmę z siedzibą w Pakistanie, dysponującą dzierżawioną przestrzenią VPS na terenie Stanów Zjednoczonych, która służy im do komunikacji sterującej C2 (command and control).

  • Niestandardowe oprogramowanie typu „malware” (BITTERBUG) stosowane przez tych cyberprzestępców zaobserwowano tylko na hostach i w trakcie komunikacji z dwoma adresami IP obsługiwanymi przez pakistańskiego dostawcę usług hostingowych.

  • Wczesne warianty oprogramowania BITTERBUG pozostawiły po sobie ścieżki zawierające łańcuchy „Tranchulas” i „umairaziz27”. „Tranchulas” to nazwa pakistańskiej firmy zajmującej się zabezpieczeniami, natomiast „Umair Aziz” to imię i nazwisko jednego z jej pracowników.

  • Po publikacji naszego wpisu na blogu na temat aktywności grupy i łańcuchów pozostawionych przez jej oprogramowanie wydaje się, że cyberprzestępcy zmodyfikowali swoje binarne ścieżki do plików, aby były one bardziej ogólne.

  • Pracownicy wspomnianego pakistańskiego dostawcy usług hostingowych i firmy Tranchulas należą do swoich sieci społecznościowych.

Źródło: FireEye