APT31/Zirconium

APT31 es un grupo de amenazas persistentes avanzadas con un enfoque en el robo de propiedad intelectual y publicidad maliciosa. Este grupo también es llamado Zirconium, Judgement Panda y Bronze Vinewood por diferentes organizaciones de seguridad. Al igual que con la mayoría de los otros grupos de APT, existen sospechas de que APT31 puede estar patrocinado por el estado y, en este caso, el estado sospechoso es China. En el verano de 2020, Google Threat Analysis Group sugirió que APT31 estaba apuntando a la campaña presidencial de Joe Biden con correos electrónicos de phishing.

Recientemente, TAG vio que el grupo APT de China se dirigía al personal de la campaña de Biden y el APT de Irán se dirigía al personal de la campaña de Trump con phishing. No hay señales de compromiso. Enviamos a los usuarios nuestra advertencia de ataque del gobierno y nos referimos a las fuerzas del orden público. https://t.co/ozlRL4SwhG

- Shane Huntley (@ShaneHuntley) 4 de junio de 2020

Proceso de redireccionamiento forzado de APT31

En 2017, APT31 estaba ejecutando la mayor operación de publicidad maliciosa. El grupo había creado no menos de 28 empresas de publicidad falsa. Según Confiant, Zirconium había comprado aproximadamente mil millones de vistas de anuncios y había logrado acceder al 62% de todos los sitios web monetizados con anuncios. El principal vector de ataque que utilizó APT31 fue el redireccionamiento forzado. Un redireccionamiento forzado ocurre cuando alguien que navega por un sitio web es redirigido a otro sitio web sin que el usuario realice ninguna acción. El sitio web en el que llega el usuario se usa comúnmente como parte de una estafa o conduce a una infección de malware.

Captura de pantalla de la página de inicio de MyAdsBro - fuente: blog Confiant.com

APT31 creó y utilizó Beginads, una agencia de publicidad falsa, para establecer relaciones con plataformas de publicidad. Más adelante, se convirtió en el dominio que Zirconium usaría para dirigir el tráfico para todas las campañas de todas sus agencias falsas. APT31 trabajó duro para asegurarse de que tuvieran relaciones legítimas con varias plataformas publicitarias reales. Este enfoque también le dio al esquema cierta resistencia y lo hizo menos propenso a levantar sospechas. APT31 también revende tráfico a plataformas de marketing de afiliados. Este arreglo significaba que APT31 no tenía que operar las páginas de destino por su cuenta. Los ciberdelincuentes fueron más allá , creando una red de afiliados que ellos mismos operaban. La red se llamó MyAdsBro. APT31 solía ejecutar sus propias campañas a través de MyAdsBro, pero otros también podían impulsar el tráfico a MyAdsBro por una comisión.

Captura de pantalla del panel web del cliente - fuente: blog Confiant.com

Una vez que se llevaron a cabo las redirecciones, se incitó a los usuarios a habilitar la infección a través de algunas de las tácticas más populares:

• Ventanas emergentes falsas de actualización de Adobe Flash Player
• Pop-ups antivirus falsos
• Estafas de soporte técnico
• Varios mensajes de scareware

APT31 hizo todo lo posible al establecer su esquema y hacer que pareciera legítimo. Todas las agencias falsas tenían varios materiales de marketing, oficiales falsos con perfiles en las redes sociales e incluso publicaciones en dichos medios con contenido único. La mayoría de las empresas de producción masiva de Zirconium se lanzaron en la primavera de 2017. No todas las 28 se utilizaron ya que 8 de ellas nunca comenzaron su presencia en las redes sociales y no se involucraron en ninguna actividad publicitaria . Los esfuerzos del ciberdelincuente fueron claramente exitosos. Las agencias falsas de APT31 lograron crear relaciones comerciales directas con 16 plataformas publicitarias reales.

Solo una pequeña parte del tráfico se redirigió a una carga útil real. Para evitar la detección y el análisis, Zirconium utilizó métodos de evasión. APT31 empleó una técnica llamada huella digital. Es un proceso en el que los ciberdelincuentes recopilan información sobre los sistemas de las víctimas potenciales para apuntar con mayor precisión a una parte particular de la audiencia. El objetivo de los ciberdelincuentes al utilizar las huellas digitales es evitar la detección. Con ese propósito, usarían JavaScript en el navegador para tratar de determinar si el script se estaba ejecutando en un escáner de seguridad. Si se detectaran signos de un escáner, la carga útil no se entregaría. Existe un riesgo relacionado con la toma de huellas dactilares. El script es visible para cualquiera que lo busque y eso puede generar sospechas, pero la toma de huellas dactilares permite un mayor número de implementaciones de la carga útil.

APT31 aprovecha sus tácticas furtivas

Hay otras formas de evadir la detección que no implican ejecutar un script del lado del usuario. Los mecanismos del lado del servidor pueden ser más seguros de aplicar, ya que un investigador de seguridad no podría analizarlos a menos que se activen. Uno de estos enfoques es verificar si la IP del usuario es una IP de centro de datos. Los escáneres suelen utilizar direcciones IP de centros de datos y la detección de dicha dirección IP sería una señal clara para no implementar la carga útil.

A pesar de la impresionante escala de la operación de publicidad maliciosa de APT31, los investigadores de seguridad aún identifican que su enfoque principal es el robo de propiedad intelectual. El alcance real de todas las operaciones de Zirconium aún se desconoce, al igual que su potencial de causar daño.