Home / Online / În căutarea începuturilor APT-urilor – Moonlight Maze, un atac relevant și după 20 de ani

În căutarea începuturilor APT-urilor – Moonlight Maze, un atac relevant și după 20 de ani

Atacurile de spionaj cibernetic Moonlight Maze au transmis unde de șoc în Statele Unite la sfârșitul anilor ’90. Două decenii mai târziu, cercetătorii dezvăluie instrumentele de atac folosite  și găsesc o legătură cu un APT (Advanced Persistent Threat) modern.

În timp ce căutau o legătură între o grupare APT modernă și atacurile Moonlight Maze, care au țintit Pentagonul, NASA și alte instituții, la sfârșitul anilor ’90, cercetătorii Kaspersky Lab și cei de la Kings College London au scos la iveală mostre și artefacte aparținând acestui APT „antic”.

Descoperirile arată că un backdoor folosit în 1998 de Moonlight Maze pentru a sustrage informații din rețelele victimelor are legătură cu un backdoor folosit de Turla în 2011 și posibil, recent, în 2017. Dacă legătura dintre Turla și Moonlight Maze este dovedită, acest lucru va plasa gruparea alături de Equation Group, în termeni de longevitate, unele dintre serverele de comandă și control ale Equation datând din 1996.  

În căutarea începuturilor APT-urilor - Moonlight Maze, un atac relevant și după 20 de ani

Rapoartele actuale despre Moonlight Maze arată faptul că, începând din 1996, rețele militare și guvernamentale din Statele Unite, precum și universități, institute de cercetare și chiar Ministerul Energiei au început să detecteze breșe în sistemele lor. În 1998, FBI și Ministerul Apărării au lansat o investigație amplă. Povestea a devenit publică în 1999, dar multe dintre dovezi au rămas informații clasificate, lăsând detaliile despre Moonlight Maze învăluite în mister.

De-a lungul anilor, cercetătorii care au lucrat inițial la acest caz, în trei țări diferite, au declarat că Moonlight Maze s-a transformat în Turla, un APT de limbă rusă,  cunoscut și ca Snake, Uroburos, Venimous Bear și Krypton. Se presupune că gruparea Turla ar fi fost activă din 2007.

În 2016, în timpul cercetărilor pentru cartea sa, ”Rise of the machines”, Thomas Rid, de la Kings College London, a dat de urma unui fost administrator de sistem al cărui server a fost controlat ca proxy de atacatorii Moonlight Maze. Acest server, ”HRTest”, a fost folosit pentru lansarea atacurilor asupra Statelor Unite. Specialistul IT, acum pensionar, a păstrat server-ul original și toate copiile care aveau legătură cu atacurile și le-a oferit celor de la Kings College și Kaspersky Lab pentru analiză.

Cercetătorii Kaspersky Lab, Juan Andres Guerrero-Saade și Costin Raiu, împreună cu Thomas Rid și Danny Moore de la Kings College, au întreprins timp de nouă luni analize tehnice detaliate ale acestor probe. Ei au reconstituit activitățile atacatorilor, instrumentele și tehnicile și au efectuat o investigație paralelă pentru a vedea dacă pot dovedi presupusa conexiune cu Turla.

Monnlight Maze a fost un atac open-source Unix, țintind sistemele Solaris, iar descoperirile arată că a făcut uz de un backdoor bazat pe LOKI2 (un program lansat în 1996, care le permitea utilizatorilor să extragă informații în secret). Acest lucru i-a determinat pe cercetători să îndrepte o privire mai atentă asupra câtorva mostre rare de Linux folosite de Turla, pe care Kaspersky Lab le-a descoperit în 2014. Denumite Penquin Turla, aceste probe sunt de asemenea bazate pe Loki2. Mai departe, o nouă analiză a arătat că toate folosesc coduri create între 1999 și 2004.

Remarcabil este faptul că acest cod încă este folosit în atacuri. A fost detectat în 2011, atunci când a fost descoperit într-un atac asupra contractorului Ruag din Elveția, atribuit grupării Turla. Acum, în martie 2017, cercetătorii Kaspersky Lab au descoperit o nouă mostră din backdoor-ul Penquin Turla, prezentă într-un sistem din Germania. Este posibil ca Turla să folosească acest cod vechi pentru atacuri asupra unor entități foarte bine securizate care ar putea fi mai greu de spart folosind instrumentele Windows standard.

”La sfârșitul anilor ’90, nimeni nu a prevăzut amploarea și persistența pe care o campanie de spionaj cibernetic ar putea să o aibă”, precizează Juan Andres Guerrero-Saade, Senior Security Researcher, Global Research and Analysis Team la Kaspersky Lab.  “Întrebarea este de ce atacatorii pot să folosească un cod vechi în atacurile moderne. Analiza mostrelor Moonlight Maze nu este doar un fascinant studiu “arheologic”, ci ne reamintește faptul că adversarii bine pregătiți nu pleacă nicăieri. Depinde de noi să ne apărăm corespunzător sistemele. ”

Noile fișiere Moonlight Maze descoperite indică multe detalii fascinante despre cum atacurile au fost efectuate folosind o rețea complexă de proxy-uri și abilități și instrumente avansate. Mai multe informații despre atac și tipologie pot fi găsite aici.

Pentru detalii, vă rugăm citiți articolul de pe Securelist.com.

Produsele Kaspersky Lab detectează și blochează malware-ul folosit de Moonlight Maze și Penquin Turla.

Informații avansate și detaliate despre ultimele amenințări și autorii amenințărilor sunt disponibile pentru utilizatorii serviciului Kaspersky Lab APT Intelligence. Mai multe detalii puteți găsi aici.

CITEȘTE ȘI

Alertă de Black Friday: În 2018, pe lista țintelor vizate de malware-ul care fură date se află magazine online cunoscute

În prag de (sau în plin 😀 ) Black Friday, sau în contextul în care sezonul …