HEXANE (Lyceum) - irański APT celujący w telekomunikację i energetykę
HEXANE/Lyceum (G1001) - profil irańskiej grupy APT atakującej sektor telekomunikacyjny i energetyczny Bliskiego Wschodu. Password spraying, DNS backdoory, techniki MITRE ATT&CK.
Kwiecień 2018. Gdzieś na Bliskim Wschodzie operator telekomunikacyjny obsługujący miliony abonentów - w tym klientów korporacyjnych z sektora ropy i gazu - odnotowuje nietypowe logowania do systemu poczty elektronicznej. Konta kilku pracowników działu IT zostały przejęte, a z nich wysłane wiadomości do kolejnych pracowników, tym razem w dziale zarządzania siecią. Nikt nie zgłasza incydentu. Logowania wyglądają normalnie - pochodzą z właściwego regionu, o właściwych porach. Hasła są poprawne.
Przez ponad dwanaście miesięcy nikt nie wykryje, że w sieci operatora rezyduje grupa, która cierpliwie zbiera informacje o infrastrukturze telekomunikacyjnej - nie po to, by ją sabotować, lecz po to, by wykorzystać ją jako punkt obserwacyjny nad całym regionem.
To HEXANE - irańska grupa APT, którą Secureworks Counter Threat Unit ujawniła publicznie dopiero w sierpniu 2019 roku, po ponad roku niewidocznych operacji.
Kim jest HEXANE
HEXANE to oznaczenie nadane przez Secureworks. Grupa jest również znana jako Lyceum (Kaspersky, Dragos), Siamesekitten (ClearSky) i Spirlin. MITRE ATT&CK kataloguje ją pod oznaczeniem G1001.
W odróżnieniu od OilRig (G0049), z którym HEXANE bywa porównywany, ta grupa wyróżnia się dwoma cechami: koncentracją na sektorze telekomunikacyjnym jako celu pośrednim oraz stosunkowo prostymi - ale skutecznymi - technikami początkowego dostępu.
Badacze z Secureworks oceniają, że HEXANE mogła być aktywna już od kwietnia 2018 roku, a jej operacje koncentrowały się na organizacjach w sektorach ropy i gazu, telekomunikacji, lotnictwa oraz dostawców usług internetowych w krajach Bliskiego Wschodu i Afryki Północnej - Arabii Saudyjskiej, Kuwejcie, Izraelu, Maroku i Tunezji.
Password spraying - wejście przez główne drzwi
Pierwszą i najczęściej dokumentowaną techniką początkowego dostępu HEXANE jest password spraying - metoda, w której atakujący próbuje niewielkiej liczby popularnych haseł na dużej liczbie kont jednocześnie. To technika brutalnie prosta, ale w środowiskach bez odpowiedniej polityki haseł i bez MFA - zaskakująco skuteczna.
Schemat wygląda następująco. HEXANE identyfikuje pracowników docelowej organizacji - przez LinkedIn, strony firmowe, publikacje branżowe. Następnie ustala konwencje nazewnictwa kont (imie.nazwisko, pierwsza_litera_imienia.nazwisko) i przygotowuje listy potencjalnych loginów. Na te konta automatycznie testuje hasła z krótkiej listy: nazwy firmy z cyframi, miesiąc i rok, typowe wzorce typu “Welcome1!”, “Summer2019!”.
Kluczowe jest tempo. Password spraying różni się od brute force tym, że na jedno konto przypada zaledwie kilka prób - zbyt mało, by uruchomić blokadę konta. Ale przy tysiącu kont i trzech hasłach na konto - statystyka pracuje na korzyść atakującego.
Po uzyskaniu dostępu do jednego konta pocztowego HEXANE wykorzystuje je do wysyłania wewnętrznych wiadomości phishingowych do kolejnych pracowników - tym razem z adresu, który odbiorca rozpoznaje i któremu ufa. To klasyczna technika eskalacji - od jednego skompromitowanego konta do dziesiątek.
Dlaczego telekomunikacja?
Strategia HEXANE opiera się na zrozumieniu, że operator telekomunikacyjny to nie jest cel sam w sobie - to platforma obserwacyjna.
Kontrola nad infrastrukturą telekomunikacyjną daje potencjalny dostęp do: metadanych komunikacyjnych klientów (kto z kim rozmawia, kiedy, jak często), ruchu sieciowego przechodzącego przez infrastrukturę operatora, systemów zarządzania siecią i routingu, a w przypadku operatorów obsługujących klientów korporacyjnych z sektora energetycznego - potencjalnie do połączeń VPN i zdalnego dostępu tych klientów.
Dla irańskiego wywiadu dostęp do operatora telekomunikacyjnego w Arabii Saudyjskiej czy Kuwejcie to nie trofeum - to narzędzie. Narzędzie, które pozwala monitorować komunikację rywali, identyfikować cele dla przyszłych operacji i zbierać informacje, które w inny sposób wymagałyby wielomiesięcznych kampanii spearphishingowych.
DNS backdoory - zaufany protokół jako broń
Drugą techniką definiującą HEXANE są backdoory wykorzystujące protokół DNS jako kanał komunikacji z serwerem C2.
W 2021 i 2022 roku badacze z firmy Zscaler udokumentowali nowy backdoor .NET, który Lyceum/HEXANE wdrażał w organizacjach z sektora energetycznego. Narzędzie oparte na otwartym projekcie DIG.net implementowało technikę DNS hijacking - przechwytywania zapytań DNS w celu komunikacji z infrastrukturą atakujących.
Backdoor potrafił: analizować odpowiedzi DNS w celu odbierania poleceń, wykonywać polecenia systemowe na zainfekowanym hoście, zbierać i wysyłać pliki lokalne do serwera C2, pobierać i uruchamiać dodatkowe ładunki malware.
Co czyni DNS backdoory szczególnie trudnymi do wykrycia? Ruch DNS jest obecny w każdej sieci i rzadko podlega głębokiej inspekcji. Zapytania DNS generowane przez backdoor mieszają się z tysiącami legalnych zapytań. Większość firewalli i systemów IDS/IPS przepuszcza ruch DNS bez analizy zawartości. Nawet w organizacjach z zaawansowanym monitoringiem bezpieczeństwa ruch DNS bywa traktowany jako “szum tła”.
Malware - od dokumentów do backdoorów
Poza password sprayingiem HEXANE wykorzystuje również klasyczny spearphishing z załącznikami. Secureworks i Kaspersky udokumentowali kampanie, w których grupa rozsyłała dokumenty Word z osadzonymi makrami, maskowane jako raporty branżowe lub informacje o irańskich sprawach wojskowych.
Po uruchomieniu makra pobierany był backdoor DanBot - narzędzie napisane w C#, komunikujące się z serwerem C2 przez DNS i HTTP. DanBot umożliwiał zdalne wykonywanie poleceń, przesyłanie plików i ładowanie dodatkowych modułów.
W późniejszych kampaniach HEXANE wdrażał również webshelle na skompromitowanych serwerach i keyloggery na stacjach roboczych - budując wielowarstwową infrastrukturę persystencji w sieciach ofiar.
Techniki MITRE ATT&CK
MITRE ATT&CK dokumentuje techniki HEXANE/Lyceum pod oznaczeniem G1001:
| Technika | ID | Kontekst |
|---|---|---|
| Valid Accounts | T1078 | Wykorzystanie poświadczeń z password sprayingu |
| Brute Force: Password Spraying | T1110.003 | Główny wektor początkowego dostępu |
| Phishing: Spearphishing Attachment | T1566.001 | Dokumenty z makrami jako wektor alternatywny |
| Application Layer Protocol: DNS | T1071.004 | DNS jako kanał C2 (DanBot, backdoor .NET) |
| Command and Scripting Interpreter | T1059 | PowerShell i cmd do wykonywania poleceń |
| Exfiltration Over Alternative Protocol | T1048 | Eksfiltracja danych przez DNS |
Więcej o tym, jak mapować techniki grup APT na framework MITRE ATT&CK i budować na tej podstawie strategię obrony, opisujemy w przewodniku po MITRE ATT&CK.
HEXANE a inne irańskie grupy
Ekosystem irańskich grup APT jest rozbudowany i częściowo nakładający się. HEXANE operuje obok OilRig (G0049), APT33/Elfin (G0064), MuddyWater (G0069) i kilku innych. Badacze wskazują na potencjalne dzielenie infrastruktury i narzędzi między tymi grupami, co sugeruje koordynację na poziomie irańskiego aparatu wywiadowczego - Ministerstwa Wywiadu i Bezpieczeństwa (MOIS) lub Korpusu Strażników Rewolucji (IRGC).
HEXANE wyróżnia się na tle pozostałych grup przede wszystkim koncentracją na telekomunikacji jako celu strategicznym i stosunkowo niskim progiem zaawansowania technicznego - grupa polega na prostych, ale skutecznych technikach, co sugeruje, że jej siła leży raczej w cierpliwości operacyjnej niż w zdolnościach technicznych.
Lekcje dla sektora energetycznego i telekomunikacyjnego
MFA to nie opcja - to minimum
Password spraying działa wyłącznie tam, gdzie brakuje wieloskładnikowego uwierzytelniania. Wdrożenie MFA na wszystkich usługach dostępnych z internetu - poczta, VPN, portale webowe - eliminuje ten wektor wejściowy całkowicie.
Monitoruj ruch DNS
Backdoory DNS-owe HEXANE są skuteczne, ponieważ organizacje nie analizują ruchu DNS. Wdrożenie DNS security (analiza zapytań, wykrywanie domen DGA, inspekcja tunelowania DNS) to jedna z najskuteczniejszych inwestycji w bezpieczeństwo.
Operatorzy telekomunikacyjni to infrastruktura krytyczna
Dla organizacji z sektora energetycznego kompromitacja ich operatora telekomunikacyjnego to zagrożenie, o którym rzadko się myśli. Warto wiedzieć, przez czyją infrastrukturę przechodzi komunikacja firmowa - i jakie mechanizmy bezpieczeństwa ten operator stosuje.
Podsumowanie
HEXANE/Lyceum to grupa, która nie imponuje zaawansowaniem technicznym. Jej siła polega na czymś innym - na zrozumieniu, że najkrótszą drogą do informacji o sektorze energetycznym Bliskiego Wschodu nie musi być bezpośredni atak na rafinerie czy rurociągi. Czasem wystarczy przejąć kontrolę nad operatorem telekomunikacyjnym, przez którego przechodzi cała komunikacja regionu. I zaczekać.
Dla zespołów bezpieczeństwa w sektorze energetycznym i telekomunikacyjnym HEXANE to przypomnienie, że proste techniki - password spraying, DNS backdoory, phishing - w rękach cierpliwego operatora potrafią być skuteczniejsze niż najbardziej wyrafinowane exploity.
Źródła
- HEXANE, Lyceum, Siamesekitten, Spirlin, Group G1001 - MITRE ATT&CK
- Cyber Threat Group LYCEUM Takes Center Stage in Middle East Campaign - Secureworks
- Iranian hackers target energy sector with new DNS backdoor - Bleeping Computer
- Lyceum .NET DNS Backdoor Detection - SOC Prime
- Iran-linked Lyceum APT adds a new .NET DNS Backdoor to its arsenal - Security Affairs
- Researchers Analyze Tools Used by Hexane Attackers Against Industrial Firms - SecurityWeek
- LYCEUM (Threat Actor) - Malpedia