Operation Ghost: o grupo de ciber espionagem “The Dukes” continua ativo

A ESET demonstra como o grupo de APT The Dukes, suspeito de se ter infiltrado no Comité Nacional Democrata dos EUA, esteve ocupado a comprometer alvos governamentais enquanto se mantinha longe dos radares de deteção

The Dukes (também conhecidos como APT29 e Cozy Bear) estiveram no centro das atenções depois do seu suposto envolvimento na violação do Comité Nacional Democrata (DNC) antes das eleições de 2016 nos EUA. Desde então, e, à exceção do que se suspeita, pode ter havido uma aparição do grupo em novembro de 2018 através de uma campanha de phishing destinada a várias organizações com sede nos EE.UU, nenhuma outra atividade foi atribuída com certeza ao The Dukes, o que nos fez pensar que talvez o grupo pudesse ter interrompido as suas atividades.

No entanto, esse pensamento permaneceu até aos últimos meses, quando descobrimos três novas famílias de malware que atribuímos aos The Dukes, que são: PolyglotDuke, RegDuke e FatDuke. Estes novos implantes foram utilizados até muito recentemente. De facto, em junho de 2019, foi a última vez que identificámos uma amostra a ser implantada. Isto significa que os The Dukes continuam bastante ativos desde 2016, a desenvolver novos implantes e a comprometer objetivos de grande valor. Chamamos coletivamente a estas atividades realizadas pelo grupo e que foram descobertas recentemente, como: Operation Ghost.

Vítimas e Cronologia

Acreditamos que a Operation Ghost começou em 2013 e continua em atividade. A nossa pesquisa mostrou que os Ministérios dos Negócios Estrangeiros em pelo menos três países diferentes da Europa foram afetados por esta campanha. Também descobrimos uma infiltração por parte dos The Dukes numa embaixada em Washington, DC de um país da União Europeia.

Um dos primeiros vestígios públicos desta campanha está no Reddit e data de julho de 2014. A Figura 1 mostra uma mensagem publicada pelos atacantes. A estranha string usada por um conjunto de carateres pouco comum é a URL codificada de um servidor C&C usado pelo PolyglotDuke.

A Figura 2 apresenta uma timeline da Operation Ghost. Como é baseada na telemetria da ESET, pode ser apenas uma visão parcial de uma campanha mais ampla.

Atribuição ao The Dukes

Por um lado, notamos muitas semelhanças entre as táticas implementadas nesta campanha com as previamente documentadas, como é o uso de:

• Twitter (e outras redes sociais como o Reddit) para alojar a URL do C&C
• Esteganografia em imagens para ocultar payloads ou comunicações do C&C
• Windows Management Instrumentation (WMI) para persistência

Também notámos importantes semelhanças nos alvos de ataque:

• Todos los objetivos conhecidos são Ministérios de Negócios Estrangeiros.
• Conhecidas organizações apontadas tinham sido comprometidas anteriormente por outro malware do grupo, tais como CozyDuke, OnionDuke ou MiniDuke.
• Em algumas máquinas comprometidas com PolyglotDuke e MiniDuke, notamos que o CozyDuke tinha sido instalado apenas alguns meses antes.

No entanto, uma atribuição baseada apenas na presença de ferramentas conhecidas desse grupo nas mesmas máquinas deve ser feita com algum ceticismo. Também encontrámos a presença de outros dois atores de ameaças do APT, como a Turla e Sednit, em alguns dos mesmos computadores.

Por outro lado, encontramos fortes semelhanças de código entre amostras já documentadas e amostras do Operation Ghost. Embora não possamos descartar a possibilidade de se tratar de uma falsa flag operation, a verdade é que essa campanha começou quando apenas uma pequena parte do arsenal do grupo The Dukes era conhecida. Em 2013, na primeira data de compilação conhecida do PolyglotDuke, apenas o MiniDuke tinha sido documentado e os analistas de ameaças ainda não estavam cientes da importância desse ator. Assim, acreditamos que a Operation Ghost foi executada simultaneamente com as outras campanhas e está no radar até agora.

O PolyglotDuke (SHA-1: D09C4E7B641F8CB7CC86190FD9A778C6955FEA28) utiliza um algoritmo de criptografia personalizado para desencriptar as strings utilizadas pelo malware. Encontrámos código funcionalmente equivalente numa amostra do OnionDuke (SHA-1: A75995F94854DEA8799650A2F4A97980B71199D2) que foi documentada pela F-Secure em 2014. É interessante observar que o valor utilizado para inicializar a função srand é a marca de tempo de compilação do executável. Por exemplo, 0x5289f207 corresponde a segunda-feira, 18 de novembro, de 2013, 10:55:03 UTC.

As capturas de ecrã do IDA na Figura 3 mostram as duas funções similares.

Para além disso, as amostras recentes da backdoor MiniDuke têm semelhanças com as amostras documentadas há mais de cinco anos. A Figura 4 é a comparação de uma função numa backdoor MiniDuke listada pela Kaspersky em 2014 (SHA-1:  86EC70C27E5346700714DBAE2F10E168A08210E4) e uma backdoor MiniDuke (SHA-1:  B05CABA461000C6EBD8B237F318577E9BCCD6047 de agosto de 2018).

Dadas as numerosas semelhanças entre outras conhecidas campanhas desse grupo e do Operation Ghost, em especial as fortes semelhanças do código e a sobreposição de tempo com as campanhas anteriores, consideramos, sem receio de estarmos errados, que esta operação é dirigida pelos The Dukes.

Ferramentas e técnicas atualizadas

Na Operation Ghost, os The Dukes utilizaram um número limitado de ferramentas, mas basearam-se em numerosas e interessantes táticas para evitar que fossem detetados.

Em primeiro lugar, são muito persistentes. Roubam credenciais e utilizam-nas sistematicamente para movimentarem lateralmente na rede. Vimo-los a utilizar credenciais administrativas para comprometer e também para voltar a comprometer máquinas na mesma rede local. Portanto, ao responder a um compromisso deste grupo, é importante garantir que cada implante tenha sido removido num curto período de tempo. Caso contrário, os atacantes usarão qualquer implante restante para comprometer novamente os sistemas limpos.

Em segundo lugar, têm uma plataforma de malware sofisticada dividida em quatro etapas:

• PolyglotDuke, que usa o Twitter ou outros sites web como o Reddit ou Imgur para obter a URL do seu C&C. Faz também uso de esteganografia em imagens para a sua comunicação com o C&C.
• RegDuke, uma primeira etapa da recuperação que utiliza a Dropbox como seu servidor de C&C. O payload principal está encriptado no disco e a chave de encriptação é armazenada no registo do Windows. Baseia-se também em esteganografia, como indicado anteriormente.
• Backdoor MiniDuke, a segunda etapa. Esta simples backdoor está escrita em assembler e é muito similar a velhas backdooors MiniDuke.
• FatDuke, a terceira etapa. Esta backdoor sofisticada implementa muitas funcionalidades e tem uma configuração muito flexível. O seu código também está bem ofuscado através da utilização de muitos opaque predicate. É recompilada e modificada a sua ofuscação com frequência para evitar a sua deteção por produtos de segurança.

A Figura 5 é um resumo da plataforma de malware da Operation Ghost.

Em terceiro lugar, também notamos que os operadores evitam utilizar a mesma infraestrutura de rede de C&C entre as diferentes organizações vítimas dos seus ataques. Geralmente, este tipo de compartimentação é visto apenas pelos atacantes mais meticulosos. Evita que toda a operação salte à vista quando uma única vítima descobre a infeção e partilha os IoC relacionados com a comunidade de segurança.

Conclusão

A nossa nova investigação mostra que, se um grupo de espionagem desaparece dos relatórios públicos durante muitos anos, isto não quer dizer que tenha deixado de espiar. Os The Dukes foi capaz de voar por debaixo do radar durante muitos anos enquanto comprometia objetivos de elevado valor, como antes.

Uma lista completa de Indicadores de Compromisso (IoC) e amostras estão disponíveis no white paper completo e no GitHub.

Para uma análise detalhada da backdoor, consulto o nosso white paper.