Den 18 februari 2013 släppte det amerikanska it-säkerhetskonsultbolaget Mandiant en skakande rapport som beskriver hur en enhet i Kinas militär upprepade gånger och under mer än sex år har infiltrerat och stulit data från, huvudsakligen, privata, amerikanska företag. Rapporten bekräftar flera viktiga lärdomar men lämnar en del frågor obesvarade.

Mandiant APT1 report front page

Rapporten heter APT1: Exposing One of China’s Cyber Espionage Units (pdf) och är den första, publikt tillgängliga krönikan över hur en enskild APT-grupp arbetar.

Sammanfattning

Rapporten övertygar om att statligt finansierade angripare som inte ger upp verkligen finns. Metoderna de använder är väl dokumenterade men varken annorlunda eller särskilt tekniskt avancerade. Det som gör det svårt att skydda sig är att de (1) angriper användare och (2) har tiden på sin sida. Några förslag på åtgärder ges längst ner i inlägget men det är bara sådant du redan vet om. Rapportens stora behållning är att den påverkar din världsbild.

Analys

Begreppet APT, advanced persistent threat, exploderade i säkerhetsbranschen under 2010-2011 men användes av vissa (Mandiant t ex) redan ett par år innan. Min första kontakt med begreppet var nog sommaren 2009 när Bejtlich skrev om APT. Definitionerna har haglat tätt sedan dess men de flesta borde vara överens om att nyckelordet är persistent; det handlar om angripare som är ute efter ett längre, stadigvarande förhållande.

APT1 är namnet som Mandiant har gett gruppen, i själva verket ska det röra sig om Unit 61398 i the People’s Liberation Army (Kinas motsvarighet till Försvarsmakten) (s. 7-19). Samma grupp har i media även kallats Comment Crew och Comment Group (s. 26).

Lite data från rapporten (s. 3-5, 21):

  • APT1 är en av omkring 20 APT-grupper från just Kina som Mandiant säger sig ha koll på.
  • APT1 har varit verksamma sedan 2006 och är den mest aktiva räknat på mängd stulna data.
  • Mandiant har kommit i kontakt med APT1 i samband med intrång hos 141 offer de senaste 7 åren.
  • 87 % av offren låg i engelsktalande länder.
  •  Bara under januari 2011 gjorde APT1 intrång i 17 olika organisationer.
  • Mandiant uppskattar att APT1:s infrastruktur består av över 1 000 (hackade) servrar på internet.
  • Hos de 91 av de 141 offren där start- och sluttid gick att beräkna var medellängden på ett intrång 356 dagar. Hos ett offer behöll man åtkomsten under 4 år och 10 månader.

Utöver detta finns en del data som ska stödja teorin om att det verkligen rör sig om en grupp finansierad av kinesiska staten. Från slutsatsen i sammanfattningen (s. 6):

The sheer scale and duration of sustained attacks against such a wide set of industries from a singularly identified group based in China leaves little doubt about the organization behind APT1. We believe the totality of the evidence we provide in this document bolsters the claim that APT1 is Unit 61398. However, we admit there is one other unlikely possibility: A secret, resourced organization full of mainland Chinese speakers with direct access to Shanghai-based telecommunications infrastructure is engaged in a multi-year, enterprise scale computer espionage campaign right outside of Unit 61398’s gates, performing tasks similar to Unit 61398’s known mission.

Utifrån bevisen verkar det utan tvekan handla om angripare från Kina. Att någon annan skulle lägga så mycket energi på att verka kinesiska är inte omöjligt men det tycks orimligt. Huruvida det rör sig om statligt finansierade angripare är jag dock inte kapabel att bedöma. Jag kommer heller inte att gå in på Mandiants analys kring detta. Den är dock övertygande.

Var kommer underlaget ifrån?

Det framgår inte entydigt men av allt att döma rör sig om data och erfarenheter från utredningar som Mandiant själva har gjort under åren.

Är de partiska?

Givetvis. Mandiant har pratat om APT och hotet från Kina under lång tid. För några år sedan, när Bejtlich (som nu är CSO på Mandiant) var chef för incidenthanteringen på GE, påpekade han att hans argument för säkerhet gentemot ledningen ofta baserades på skyddet mot industrispionage.

Dessutom är rapporten förstås att betrakta som reklam för Mandiant, deras tjänster och produkter.

Är rapporten rimlig?

Svårt att säga. Inget liknande har rapporterats publikt tidigare. Utifrån befintlig kunskap är det väldigt uppseendeväckande, även om det har talats om statligt finansierade angripare från Kina under ett par år.

Tiden då man hackade sig in i organisationer via buffer overflows i webb- eller ftp-servrar med exploits från Packetstorm är förbi. APT1 visar att det är spear phishing som gäller.

Personligen tror jag dock att det är avsevärt mer sannolikt att stater skulle finansiera intrång på det här sättet än att organiserad brottslighet skulle göra det. Så, uppseendeväckande men knappast omöjligt. Det överraskar mig att det skulle vara så förhållandevis enkelt att härleda källan till intrången så precist trots att attackerna pågått under så lång tid.

Rör det här mig?

Det beror på vem du är. Utifrån rapporten verkar i och för sig nästan alla möjliga industrisektorer vara utsatta men klientelet är rimligtvis smalare än så. I listan över vad som har stulits (s. 25) finns ett tydligt mönster: dokument och information om produktutveckling, tillverkningsmetoder, affärsplaner samt mötesprotokoll och mail tillhörande företagsledningen. Du får ställa dig själv frågan: är motsvarande från oss värdefullt för någon annan?

Som sagt finns lejonparten av offren i USA; 115 av 141 (s. 22). Resterande är spridda över olika länder varav Europas totalt 14 intrång innehas av Storbritannien, Frankrike, Belgien, Luxemburg, Schweiz, Israel och Norge (s. 22). Statoil? Norsk Hydro? Lokalkontor till amerikanskt företag? Intrånget hos Telenor ska enligt utsago ha skett i mitten av mars 2013 så det kan inte gärna vara det som avses, så vitt vi vet.

Men, rör det här mig? Innan man går in på dyrare analyser, dimensionerande hotbeskrivning eller liknande, brukar jag föreslå tre frågor:

  1. Kan bedragare utnyttja oss eller relationen till våra kunder för att tjäna pengar?
  2. Har vi intellektuella tillgångar som är intressanta för konkurrenter?
  3. Bedriver vi verksamhet som är kontroversiell?

Om svaret på någon av dessa frågor är ja har ni anledning att skydda er särskilt. Annars behöver ni nog bara oroa er för att inte vara en lågt hängande frukt, att någon av de tusentals automatiserade attackprogram som ständigt rullar på internet ska råka hamna på någon av era ip-adresser.

Det är enkelt att skydda sig mot sådana. Här fokuserar vi på de svåra.

Vad kan jag lära mig?

Tyvärr rapporterar de inte om organisationer som har lyckats värja sig från attackerna. Rapporten ger istället sken av att APT1 kommer in överallt. Värst tycker jag dock är att inget nämns om hur intrången har först upptäckts. Däremot beskrivs deras metoder utförligt.

[…] metoderna är inte häpnadsväckande på något sätt, bara väl genomförda.

Varje gång någon skriver en bok om penetrationstester lägger de fram en modell för hur ett intrång går till. Det finns med andra ord rätt många modeller, jag är dock förtjust i Mandiants attack lifecycle (s. 27). Den delar in en fullständig attack i åtta steg: initial recon, initial compromise, establish foothold, escalate privileges, internal recon, move laterally, maintain presence och  complete mission. Rapporten diskuterar hur APT1 agerar i respektive steg, metoderna är inte häpnadsväckande på något sätt, bara väl genomförda.

Initial compromise Tiden då man hackade sig in i organisationer via buffer overflows i webb- eller ftp-servrar med exploits från Packetstorm är förbi. APT1 visar att det är spear phishing som gäller. Lärdomar:

  • Mailets avsändare utger sig för att vara någon som offret redan är bekant med (s. 28).
  • Ofta bifogas eller länkas en ZIP-fil som i sin tur innehåller trojanen (s. 29).
  • Det händer att offret blir kontaktad och får trojanen skickad över sociala nätverk eller instant messaging också (s. 63).
  • Exploitkit på sidor som det tilltänkta offret besöker förekommer, s k waterhole attack (s. 63).
  • Avsändaren är ofta en riktig mailadress, registrerad från en gratistjänst (s. 28).
  • Det händer att den falska avsändaren svarar på mail (s. 29).
  • Enkla trick som att ta en EXE-fil, ge den Adobes ikon för PDF-filer och ge den ett filnamn i stil med ”rapport.pdf<massa mellanslag>.exe” används (s. 30).
  • Det framgår inte i vilken utsträckning det är EXE-filer eller t ex PDF-exploits som används för att initiera trojanen. Exempel ges endast på det förstnämnda, något som borde tända upp vilket mailserver-antivirus som helst som en julgran. Lite underligt.
  • Zero days nämns aldrig.
  • Endast Windowsmiljöer verkar förekomma.

Establish foothold Det första fotfästet fås av trojanen som spear phishing-offret installerar och därmed öppnar en bakdörr.

  • Bakdörren anropar utåt till en server (s. 30) oftast via HTTP (s. 31-32) men även andra protokoll som MSN, Jabber, Gmail Calendar (s. 33) eller helt egna protokoll (s. 32). ”Många” av bakdörrarna har kommunikation över SSL (s. 33).
  • Servrarna som bakdörrarna anropar är i regel oskyldiga system som APT1 har tagit över (s. 39). Det verkar vara skillnad på dessa och övriga offer då dessa bara används som infrastruktur och inte för att stjäla data.
  • Den oskyldiga servern finns sällan i Kina (s. 39).
  • Oftast används skräddarsydda bakdörrar men ibland publika som Poison Ivy och Gh0st RAT (s. 30). Mandiant säger sig ha identifierat uppåt tusen olika filer rörande bakdörrar tillhörande APT1 (s. 30).
  • Bakdörrarna är i regel antingen små och har väldigt begränsad funktionalitet: kör kommando eller ladda ner och kör fil. Eller, har väldigt bred funktionalitet: allt från skärmdumpar till stänga av datorn och remote desktop. (s. 32)
  • Det framgår inte huruvida antivirus-program har haft någon effekt.

Escalate privileges För att få högre privilegier verkar dumpning (och knäckning) av lösenordshashar vara modus operandi (s. 34). Detta får anses lite underligt eftersom de verktyg som räknas upp (s. 34) kräver att användaren redan är administratör: cachedump, fgdump, pwdump, etc. I så fall får verktygen snarare anses vara en del av lateral movement.

Internal reconaissance För att orientera sig väl inne på nätverket tillämpas samma metod som använts i generationer: diverse inbyggda kommandon som tasklist och netstat men huvudsakligen Windows net-kommando (s 35).

Bedriver vi verksamhet som är kontroversiell?

Lateral movement Andra system i nätverket nås sedan med samma konventionella, legitima metoder vanliga Windowsadministratörer använder: shares, psexec och at (s. 36).

Maintain presence APT1 behåller kontrollen över nätverket genom att kontinuerligt installera nya bakdörrar (av olika typer) på samma sätt som vid det initiala intrånget och stjäla inloggningsuppgifter till VPN, webbmail och motsvarande (s. 36-37).

Complete mission Efterhand filer ska stjälas packas de i lösenordsskyddade RAR-arkiv som splittas upp i lagom stora bitar, t ex 200 Mb, innan de skickas ut via befintliga bakdörrar eller ftp (s. 37).

Vad kan jag göra på en gång?

  1. Du kan redan välja att anpassa din uppfattning om huruvida det finns professionella angripare som får betalt för att bedriva industrispionage.
  2. Du kan andas ut eftersom metoderna som dessa angripare använder inte skiljer sig nämnvärt från vad vi redan är bekanta med.
  3. Ställ dig själv de tre frågorna.

Vad kan jag börja planera för?

Alla rekommendationer som kan ges är sådana som du redan har hört och ingen av dem är enkel att genomdriva i en stor organisation som är dåligt förberedd. Här är tre generella skydd som har bred effekt, prioritering är dock alltid organisationsspecifikt:

  1. Segmentera av klienter i egna nätverk och reglera utgående trafik från dem. Filtrera bort all trafik som inte behövs, mot internet innebär det förhoppningsvis allt utom webbtrafik. Samla all webbtrafik i en chokepoint där du får någon nivå av kontroll; detta betyder proxyn, helst som kräver autentisering.
  2. Bevaka nätverken. Börja med enkla delar som ordentlig loggning av sessioner på brandväggar. Fortsätt med central loggning för viktiga servrar där proxyn från föregående punkt är en av de viktigare.
  3. Tvåfaktorsautentisering för all åtkomst från internet (VPN, webbmail, etc). Det här kommer förstås att behöva vägas mot användning av mobiltelefoner.

Rapporten nämner som sagt aldrig att säkerhetshål har använts för att få fotfäste på klienter, de enda exemplen som ges är där EXE-filer har skickats till offren. Om detta stämmer är det förstås en bra idé att blockera EXE-filer i inkommande mail. Å andra sidan innebär A:et i APT att exploits till klientprogram är något de kan ta till om de behöver.

Nu såg jag precis att ett några från Luxemburg har släppt en kompletterande rapport (pdf) där de fortsätter att undersöka APT1 och dess metoder. Får ta en titt på den också.