08/10/19
«Лаборатория Касперского» опубликовала анализ вредоносной программы Reductor, уникального троянца, способного маркировать исходящие TLS-соединения и манипулировать сертификатами безопасности. Судя по описанию, Reductor использует четыре сертификата, якобы выпущенные PayPal (ie-paypal), GeoTrust и Verisign.
«В апреле 2019 г. мы обнаружили новый вредонос, который компрометирует зашифрованные веб-соединения весьма впечатляюющим образом. Анализ вредоносной программы позволил нам подтвердить, что у её операторов есть ограниченный контроль над сетевым каналом жертвы, так что они могут подменять легитимные инсталляторы различных программ заражёнными «на лету». Это делает акторов членами чрезвычайно эксклюзивного клуба: лишь у очень немногих других есть сравнимые с этим возможности», - говорится в публикации в Securelist.
Reductor обладает типичными функциями троянца для удалённого управления заражённой системой (RAT): он может загружать, выкачивать и запускать файлы. Особый интерес, однако, вызывает способность троянца «манипулировать цифровыми сертификатами и маркировать исходящий TLS-траффик с помощью уникальных идентификаторов хоста».
Взломать для маркировки
И это достигается весьма и весьма своеобразным способом.
Авторы вредоносной программы проанализировали исходный код Firefox и двоичный код Chrome, и написали «патч», который меняет манеру функционирования генератора псевдослучайных чисел; браузеры используют этот генератор для создания уникальных последовательностей символов, обозначающих клиента (поле «client random»), при первоначальном установлении TSL-соединения.
Reductor добавляет к client random ещё и зашифрованные уникальные идентификаторы на базе используемого ПО и оборудования. Перехват самих пакетов не осуществляется.
Для модификации генератора псевдослучайных чисел разработчики использовали маленький дизассемблер длин инструкций Intel.
Чтобы определить, какие из начальных TSL-соединений («рукопожатий») могут представлять интерес для операторов вредоноса, им сначала необходимо расшифровать поле «client hello». А следовательно, каким-то образом иметь доступ к трафику жертвы.
«Reductor сам не себе не производит атак «человек посередине» (MitM). Однако изначально мы предположили, что устанавливаемые [вредоносом] сертификаты могут способствовать MitM-атакам на TLS-трафик», - говорится в публикации Securelist. В тех сэмплах, которые экспертам удалось изучить никаких MitM-функций не было. «Самому по себе Reductor и не обязательно производить MitM-атаки, - полагает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - На примере разработок Equation мы уже наблюдали, как различные функции выполнялись отдельными специализированными программами. Не исключено, что Reductor - это только часть куда более широкого и многофункционального кибершпионского арсенала».
В самой «Лаборатории Касперского» полагают, что Reductor может открывать возможности для последующих MitM-атак.
Перехват в полёте
По мнению авторов публикации Securelist, Reductor также позволяет инфицировать инсталляторы других программ дополнительными троянцами прямо во время их скачивания жертвой. По-видимому, это означает, что к этому моменту операторы уже обеспечивают себе устойчивое присутствие в заражённой инфраструктуре.
Что же касается атрибуции, то, по мнению экспертов «Лаборатории Касперского», за Reductor стоит известная своим новаторством APT-группировка Turla. Об это свидетельствует, в частности, то, что жертвами атак становятся организации, которые и раньше представляли особый интерес для операторов Turla.
Кроме того, эксперты «Лаборатории» усмотрели большую степень сходства между Reductor и троянцем COMPfun, известным с 2014 г. По-видимому, авторами обеих вредоносных программ являются одни и те же люди.
