Группы кибершпионажа усложняют обнаружение источника их атак, увеличивая использование прокси-сетей, известных как оперативные ретрансляционные сети или ORB, которые могут сбить защитников со следа.
Компания по кибербезопасности Mandiant предупредила, что она наблюдает растущую тенденцию к шпионским операциям, поддерживаемым Китаем, в частности к использованию ORB для заметания следов.
Эти сети ORB чем-то похожи на ботнеты и могут состоять из виртуальных частных серверов (VPS), а также взломанных устройств Интернета вещей (IoT) и незащищенных маршрутизаторов. Эта комбинация затрудняет отслеживание атак защитникам, поскольку эти группы могут маскировать трафик между своей инфраструктурой управления и контроля и конечными целями.
Сети ORB — одна из главных инноваций в китайском кибершпионаже, которая бросает вызов защитникам, — сказал Майкл Рэгги, главный аналитик Mandiant в Google Cloud.
«Они похожи на лабиринт, который постоянно меняет конфигурацию: вход и выход исчезают из лабиринта каждые 60–90 дней», — сказал он. «Чтобы нацелиться на кого-то, эти субъекты могут прийти с домашнего маршрутизатора прямо на улице. Нет ничего необычного в том, что домашний маршрутизатор совершенно ничего не подозревающего человека оказывается вовлеченным в шпионаж».
Эти сети часто создаются путем аренды VPS и использования вредоносного ПО, предназначенного для атак на маршрутизаторы, чтобы увеличить количество устройств, способных ретранслировать трафик. Поскольку состав этих сетей быстро меняется, использование сети ORB затрудняет обнаружение атак и привязку их к определенной группе с точки зрения атрибуции.
Это делает классические индикаторы компрометации (IOC) – технические подробности и подсказки, которыми обычно делятся об атаках, – менее полезными, поскольку эти группы будут регулярно проходить через сетевую инфраструктуру.
Масштаб этих сетей, по словам Мандианта, означает, что злоумышленники могут использовать устройства, которые имеют удобную географическую близость к целевым предприятиям. Это позволяет их вредоносному трафику смешиваться при проверке аналитиками.
«Одним из таких примеров может быть трафик от домашнего интернет-провайдера, который находится в том же географическом положении, что и целевой объект, который регулярно используется сотрудниками и с меньшей вероятностью будет перехвачен для проверки вручную», — говорится в отчете Mandiant.
В результате, по мнению охранной компании, командам корпоративной безопасности следует изменить свое мышление. Это означает, что вместо того, чтобы рассматривать сети ORB как часть инфраструктуры, используемой злоумышленниками, им следует отслеживать ORB «как развивающиеся объекты, подобные APT». [advanced persistent threat] группы».
Сети ORB не являются новым изобретением и регулярно используются в рамках шпионских кампаний, чтобы скрыть, кто является злоумышленником и где он находится. Однако Мандиант заявил, что использование этих сетей поддерживаемыми Китаем шпионскими организациями в последние годы стало более распространенным явлением.
Эти ORB представляют собой инфраструктурные сети, которыми управляют подрядчики или другие лица в Китае. Они не контролируются какой-либо одной шпионской или хакерской группой APT, но распределяются между ними, что, по словам Мандианта, означает, что несколько участников APT будут использовать сети ORB для осуществления своего собственного шпионажа и разведки.
Эта инфраструктура часто меняется: срок жизни IPv4-адреса, связанного с узлом ORB, может составлять всего 31 день. Мандиант заявил, что конкурентным отличием сетевых подрядчиков ORB в Китае, по-видимому, является их способность ежемесячно циклически задействовать значительную часть своей скомпрометированной или арендованной инфраструктуры.
Это означает, что простая блокировка инфраструктуры, связанной с сетью ORB, в определенное время не будет такой эффективной, как это было раньше. «В результате исчезновение МОК ускоряется, а срок годности сетевых индикаторов сокращается», — сказал Мандиант.
«Инфраструктура или скомпрометированное маршрутизаторное устройство, взаимодействующее со средой жертвы, теперь может быть идентифицировано по конкретной сети ORB, в то время как субъект, использующий эту сеть ORB для проведения атаки, может быть неясен и требует изучения сложных инструментов и тактик, наблюдаемых как часть вторжение», — говорится в сообщении.
Джон Халтквист, главный аналитик Mandiant, Google Cloud, добавил: «Китайский кибершпионаж когда-то был шумным и легко отслеживаемым. Это новый тип противника».
Узлы в сети ORB обычно распределены по всему миру. Mandiant приводит в качестве примера сеть, которую она отслеживает как ORB3 или Spacehop, которую она описала как очень активную сеть, используемую несколькими группами, поддерживаемыми Китаем.
Он использует сервер ретрансляции, размещенный либо в Гонконге, либо в Китае облачными провайдерами, в то время как узлы ретрансляции часто представляют собой клонированные образы на базе Linux, которые используются для проксирования вредоносного сетевого трафика через сеть к выходному узлу, который взаимодействует с целевыми средами жертв.
Мандиант отметил, что примечательно то, что эта сеть имеет «большое количество» узлов в Европе, на Ближнем Востоке и в США — все эти регионы являются объектами атак поддерживаемых Китаем APT15 и ATP5.
Напротив, другая сеть, которую отслеживает Mandiant (известная как ORB2 или Florahox), также содержит взломанные сетевые маршрутизаторы и устройства IOT. Судя по всему, сеть содержит несколько подсетей, состоящих из взломанных устройств, задействованных с помощью имплантата-маршрутизатора, известного как Flowerwater.
Мандиант заявил, что все это создает проблему для защитников, поскольку вместо того, чтобы просто блокировать инфраструктуру, связанную с злоумышленниками, им теперь приходится учитывать, какая инфраструктура является частью сети ORB прямо сейчас, как долго и кто использует сеть ORB.
Мандиант добавил, что лучший способ справиться с проблемой, создаваемой сетями ORB, — это прекратить отслеживать шпионскую инфраструктуру управления и контроля как инертный индикатор компрометации и начать отслеживать ее как самостоятельную сущность.
«Вместо этого инфраструктура — это живой артефакт сети ORB, которая представляет собой отдельный и развивающийся объект, где характеристики самой IP-инфраструктуры, включая порты, услуги и данные регистрации/хостинга, могут отслеживаться как развивающееся поведение администратором злоумышленника, ответственным за эту сеть ORB», — сказал Мандиант.
Он предупредил, что рост индустрии ORB в Китае указывает на долгосрочные инвестиции в оснащение поддерживаемых Китаем киберопераций более сложными тактиками и инструментами.
«Справятся ли защитники с этой задачей, зависит от того, будут ли предприятия применять такой же глубокий тактический подход к отслеживанию сетей ORB, как это делалось для APT за последние 15 лет», — сказал Мандиант.
