Иранская группировка APT33 создала собственную VPN-сеть, но это лишь повредило секретности

Рекомендуем почитать:

Xakep #246. Учиться, учиться, учиться!

• Содержание выпуска
• Подписка на «Хакер»

Аналитики компании Trend Micro давно наблюдают за иранской хак-группой APT33, которая активна как минимум с 2013 года и, в частности, стоит за созданием известной малвари Shamoon. В 2019 году жертвами APT33 стали частная американская компания, предоставляющая услуги, связанные с национальной безопасностью, университеты и колледжи в США, а также еще ряд компаний и организаций на Ближнем Востоке и в Азии.

Долгое время изучая активность APT33, исследователи сумели разобраться как группировка управляет своей инфраструктурой, которая представляет собой многослойную и изолированную систему, призванную скрыть активность операторов APT33 от внимания специалистов. Аналитики пишут, что между операторами APT33 и их целями существует четыре уровня защиты:

• уровень VPN — специально построенная сеть узлов VPN, необходимая, чтобы скрыть реальный IP-адрес и местоположение оператора;
• уровень Bot Controller — промежуточный уровень серверов;
• уровень бэкэнда управляющего сервера — фактические внутренние серверы, через которые группа управляет своими ботнетами;
• уровень прокси — набор облачных прокси-серверов, через которые управляющие серверы скрываются с зараженными хостами.

Но, как оказалось, APT33 никогда не использует коммерческие VPN-серверы, чтобы скрыть свое местоположение, как это делают другие группировки. Вместо этого хакеры создали собственную VPN-сеть, ведь совсем несложно арендовать пару серверов и использовать опенсорсное ПО (например, OpenVPN). Однако именно это в конечном итоге и облегчило исследователями отслеживание группировки.

Дело в том, что в итоге специалистам Trend Micro оказалось достаточно наблюдать лишь за несколькими IP-адресами. А если бы APT33 использовала коммерческие VPN, их активность без труда затерялась бы среди прочего трафика. «Вероятно, APT33 использует исключительно свои выходные узлы VPN, — пишут эксперты Trend Micro. — Мы отслеживаем некоторые из частных выходных узлов VPN группы более года, и перечислили известные нам IP-адреса в таблице ниже».

Интересно, что собственные VPN используются группировкой не только для подключения к панелям управления ботнетов, но и для других задач, включая разведку сетей, имеющих отношение к нефтяной промышленности. Так, исследователи стали свидетелями того, как некоторые из вышеперечисленных IP-адресов применялись для разведки в сетях неназванной нефтедобывающей компании, военных госпиталей на Ближнем Востоке, а также неназванной нефтяной компании в США.

Учитывая интерес APT33 к нефтяной промышленности (Trend Micro предупреждает, что хакеры также посещали сайты, используемые для найма людей в нефтегазовом секторе), компаниям рекомендуется проверить журналы безопасности и поискать в них перечисленные IP-адреса, то есть убедиться, что APT33 ими не интересуется.

Кроме того, частная сеть VPN используется хакерами и для доступа к сайтам различных компаний, занимающихся тестированием на проникновение, почте, сайтам об уязвимостях и сайтам, посвященным взлому криптовалют.

Источник