.jpg)
.jpg)
Advanced persistent threat злоумышленники: кто это, на кого и как они работают?
Многие специалисты по информационной безопасности сходятся сегодня во мнении, что именно мобильные вредоносные программные средства добавляют совершенно новое измерение в их набор инструментов. Хотя мобильное вредоносное ПО не является чем-то принципиально новым, но, по сути, именно этот инструментарий позволяет APT-злоумышленникам (от Advanced persistent threat — развитая устойчивая угроза, таким образом, имеется в виду группа, специализирующаяся на целевых кибератаках) получить доступ в сознание интересующих их людей. В современном мире мобильные устройства часто содержат бесценные личные и корпоративные данные, конфиденциальную документацию и многое другое, что не предназначено для общего доступа. Более того, мобильные устройства все чаще становятся единственными компьютерами, которыми пользуются люди. Но только половина из них предпринимает хоть какие-то меры, чтобы их защитить.
В то время, как APT-группировки выбирают своей целью мобильные устройства по ряду довольно разных по своей сути причин, в отчете этого года исследователи группы ASERT основное внимание уделили мотиву, который стал основным в прошлом 2019 году — нарушение прав человека.
Ключевые факторы Advanced persistent threat
1. Отслеживание инакомыслия
APT-группировки под крылом правительственных структур все чаще включают мобильное вредоносное программное обеспечение в свой набор инструментов, используя его для отслеживания международных целей, а также для мониторинга внутренних диссидентов и протестующих.
2. Мобильное вредоносное ПО: существуют коммерческие предложения
APT-злоумышленникам, которым не хватает знаний и опыта для того, чтобы создать собственное мобильное вредоносное программное обеспечение, не стоит отчаиваться: существуют коммерчески доступные мобильные вредоносные решения, способные отслеживать интересующие их цели.
3. Мобильность: ужасающая незащищенность
Только около половины пользователей мобильных устройств предпринимают какие-либо шаги для защиты своего устройства, что для APT-группировок существенно облегчает задачу развертывания и использования мобильных вредоносных программ на гаджетах своих жертв.
Авторитарные правительства - основная движущая сила Advanced persistent threat злоумышленников
Ориентация на диссидентов, журналистов, активистов и экспатриантов, мониторинг их активности и недопущение действий, которые угрожают правительству, — общая цель для всех проправительственных APT-группировок. Несмотря на то, что такое преследование происходит по всему миру, никто не полагается на эту тактику больше, чем авторитарные правительства, часто практикующие ее против своего же собственного народа.
Государства, нацеленные на тотальный контроль своего народа, особое внимание уделяют главным «подрывникам спокойствия», таким как журналисты-расследователи, экспатрианты-активисты, правозащитные организации, адвокаты и неправительственные некоммерческие организации.
APT-группировки в Китае
Китай использует APT-группировки для борьбы с «Пятью ядами»: население мусульман-уйгуров, Движение за независимость Тибета, Движение за независимость Тайваня, религиозная организация Фалуньгун и китайские защитники демократии, к которым, в частности, относятся и волнения в Гонконге.
Эти «яды» считаются угрозой однородной культуре, марксистской идеологии и подрывают легитимность Коммунистической партией Китая по единоличному контролю страной. Многие организации, такие как Human Rights Watch и Amnesty International, опубликовали задокументированное подтверждение существования и использованием правительственными структурами Китая шпионского программного обеспечения для мониторинга населения. Эту информацию подтверждают и многие ведущие компании по кибербезопасности. Так, к примеру, «однокликовый» мобильный эксплойт POISON CARP использовался против тибетского населения. CallerSpy, еще одна мобильная вредоносная программная угроза, была нацелена на уйгурское население. А фальшивые приложения появились на смартфонах протестующих в Гонконге еще за несколько лет до известных событий, и недавно «Great DDoS Cannon», молчавшая несколько лет, снова всплыла, пытаясь помешать координации акциями протеста.
Применение Advanced persistent threat в Иране
Иран использует мобильные инструменты мониторинга для осуществления постоянного надзор за своим населением и экспатриантами, что особенно стало актуальным во время нынешних внутренних волнений.
Иранский режим (как правительство, так и религиозные власти) пытается ограничить влияние западной культуры, суннитской религии, как веры меньшинства, а также идей демократических идеалов. Например, в недавно опубликованном исследовании показано, как группа, называемая Domestic Kitten, создала вредоносное ПО для Android-устройств для иранской программы наблюдения. Это вредоносное ПО почти исключительно существовало на телефонах иранцев, но его также можно было найти на телефонах членов групп, угрожающих стабильности иранского режима. Зачастую, мобильные вредоносные программы маскируются под законные приложения или авторы вредоносных программ встраивают их в перепакованное приложение, а затем рекламируют в социальных сетях для загрузки, как это было в случае вредоносного кода GolfSpy.
Подобное созданное APT-злоумышленниками вредоносное ПО под названием MobonoGram 2019, которое маскировалось под неофициальное приложение Telegram, было доступно для мобильных пользователей в том числе и в тех странах, которые Telegram блокируют, и даже смогло появится на некоторое время в магазине Google Play, получив более 100 тыс. скачиваний, пока не было заблокировано.
Просочившиеся в сеть документы, относящиеся, судя по всему, к Министерству разведки Ирана, похоже, подтверждают, как возможности, так и намерения иранского режима следить за иранцами дома и за рубежом, а также указывают на существование команд, которые специализируются на мобильном вредоносном программном обеспечении. А если и это не помогает, то Иран просто блокирует Интернет.
Примеры использования APT во Вьетнаме
Вьетнам имеет долгую историю использования вредоносных программ для наблюдения за журналистами, активистами и некоммерческими организациями, а его жертвы находятся как внутри, так и за пределами границ страны.
Анализ последних киберактивностей вьетнамского режима, проведенный исследователями группы ASERT, показал, что большинство его жертв проживает во Вьетнаме. Авторитарная Коммунистическая партия Вьетнама полностью ограничивает права и доступность информации для своего народа, что чревато серьезными последствиями для инакомыслия. Так, международное сообщество выступило с резкой критикой законов о кибербезопасности, которые в стране вступили в силу в 2019 году, как такие, что нарушают личную жизнь, а также способствуют еще большим репрессиям в отношении своего народа.
Вьетнамское вредоносное ПО уникально тем, что в стране разрабатываются версии для персональных компьютеров и мобильных устройств параллельно, с намерением использовать обе версии одновременно. Исследователи обнаружили, что ATP-группировка, известная как OPERATION OCEANMOBILE, в своей недавней компании использовала несколько поддельных приложений для Android, которые в действительности являлись вредоносными программами для слежки. Эти приложения были отправлены целевым лицам с помощью фишинга, а также некоторое время были доступны в официальном магазине Google Play, укомплектованные бизнес-предысторией, политикой конфиденциальности и даже репозиторием GitHub.
Мобильный шпионаж в аренду
Не каждая страна имеет достаточно опыта и/или времени для создания с нуля своего вредоносного ПО для слежки — но им не стоит из-за этого переживать, для них есть уже готовые приложения, которые можно нанять для своих целей. Существует несколько легальных поставщиков вредоносных программ, готовых притворяться, что то, что они продают, будет использоваться только в законных целях. К счастью для нас, одна такая группа во время самозаражения при проведении тестирования операционной безопасности, допустила ужасную для себя ошибку, которая привела к утечке данных, открыв нам окно в мир коммерческих мобильных вредоносных программ.
Выглядящее доброжелательно, программное обеспечение FinSpy с поддержкой имплантов для мобильных устройств компании FinFisher имеет историю нацеливания на отдельных лиц в рамках марша «За справедливость» в Турции, а также на других людей и компании по всему миру. Обновленные версии программного обеспечения более продвинуты, благодаря поддержке iOS в дополнение к Android.
Pegasus, другое известное шпионское программное обеспечение для правительственных «законных» нужд производства компании NSO Group, использует мобильное вредоносное приложение для мониторинга пользователей, которое после установки может получать доступ к вызовам, сообщениям, электронной почте и файлам, а также управлять микрофоном и камерой. Существуют доказательства того, что эта вредоносное приложение использовалось против диссидентов на Ближнем Востоке и в других странах. Соответственно, Chrysaor, который скорее всего, был создан авторами Pegasus, — это шпионский инструмент для Android-устройств, который может отслеживать местонахождение жертв.
Заключение
Мобильное вредоносное ПО быстро превращается из вспомогательного инструментария для поддержки вредоносного программного обеспечения для персональных компьютеров в автономное решение, зачастую способное получать информацию в режиме реального времени. Хотя в рамках данной публикации основное внимание было сфокусировано на нарушении прав человека, использование мобильных вредоносных программных средств для шпионажа, кражи интеллектуальной собственности и финансовых преступлений, похоже, ускоряется не менее быстрыми темпами. Поэтому, независимо от типа организации, игнорирование рисков, связанных с мобильными устройствами, оставляет специалистов по безопасности в слепой зоне с потенциально катастрофическими последствиями для бизнеса.
Появились вопросы или нужна консультация? Обращайтесь!
Вечный параноик, Антон Кочуков.
См. также:
Авторизуйтесь для этого