Хааны эрэлд: Монгол улсыг Хятадын кибер тагнуулууд онилжээ

***Уг мэдээлэл нь зарим нэг уншигчдад цаг хугацааны хувьд өнгөрсөн, хоцрогдсон гэх шүүмжлэлтэй мэт санагдаж магадгүй ч  бид уг болсон явдлын талаар илүү дэлгэрэнгүй байдлаар мэдээллийн эх үүсвэрээс нь сийрүүлэн хүргэхийг хичээлээ.***

ThreatConnect Intelligence Research Team (TCIRT) нь “Хааны эрэлд 2014″ хэмээх АНУ, Монгол улсын цэргийн хамтарсан сургуулилтын талаархи Concept Development Conference (CDC) гэсэн мэдэгдэл бүхий агуулгатай Microsoft Word файлыг зэвсэгийн зориулалттай болгож өөрчилсөнийг илрүүлсэн юм. Бид судалгаагаа улам гүнзгийрүүлэх явцад цаг хугацааны хувьд нилээд өмнө болж өнгөрсөн буюу 2012 оны 6 сард болсон Монгол Улсын Ерөнхийлөгчийн сонгуулийн талаар Монгол хэл дээр бичигдсэн өөр нэг урхи бүхий баримтыг илрүүлсэн билээ.

Энэхүү үйл ажиллагаа нь манай улстай эдийн засаг, батлан хамгаалах болон дипломат харилцаа бүхий бусад орнуудын эсрэг чиглэсэн Хятадын “Chinese Computer Network Exploitation” (CNE) хэмээх байгууллагын үйл ажиллагаа гэхээр байсан юм.  ”Гуравдагч хөрш” буюу тухайлбал АНУ, БНСУ болон Европын Холбоо зэрэгтэй харилцаа тогтоох замаар улс орныхоо тусгаар тогтнолыг илүү баталгаажуулахаар хичээж буй Монгол улсын оролдого нь магадгүй Хятадын хувьд CNE үйл ажиллагааг явуулах хөшүүрэг болсон байх талтай. Энэхүү ажиллагаа нь АНУ, Монгол улс хоорондын харилцааны талаар болон барууны бусад улс орнуудын талаар мэдэж авахад нь цаашлаад Монгол улс дахь  үндэсний сонирхолоо хамгаалахад нь Хятадад туслах байсан бизээ.

Хааны эрэлд-2014-ын талаархи мэдэгдэл бүхий файлд хийсэн шинжилгээ:

TCIRТ –ийн илрүүлсэн баримт нь АНУ-ын цэргийн сургуулилт, “Хааны эрэлд 2014″-ын талаархи CDC-ийн урьдчилсан төлөвлөгөөг “US Army Pacific”-аас Army, Marine Corps and State Department зэрэг байгууллагуудад мэдэгдэж байгаа албан ёсны гэхдээ нууцын зэрэглэлд хамаарахгүй мэдэгдэл мэт харагдахаар байв. Энэхүү баримтын гарчиг нь “DRAFT MSG – KQ14 – CDC ANNOUNCE MESSAGE.doc” ба CVE-2012-0158 кодчилол бүхий алдаан дээр дөрөөлөн peaceful.linkpc[.]net, mongolia.regionfocus[.]com болон mseupdate.strangled[.]net гэсэн домэйнүүд рүү холбогддог хортой кодыг агуулсан байна. Эдгээр домэйнууд нь уг хакерийн үйл ажиллагааг удирдах, хянахад ашиглагддаг.

Монголын цэргийн сургуулилт дээр нэмээд:

TCIRT-ийн шинжилгээгээр “VN Tsergiin acedemy update.doc” гэсэн баримтыг нэмж илрүүлсэн ба энэ нь өмнөхтэй яг ижил алдаанд тулгуурласан хортой кодыг агуулсан, мөн дээр дурдсан домэйнууд руу холбогдохоор байсан байна. Энэхүү баримт бичиг нь Монгол хэл дээр бичигдсэн ба Вьетнамын зэвсэгт хүчинтэй хамтарсан сургалтын төлөвлөгөөний талаар Вьетнамын БХЯ-ы албан ёсны мэдэгдэл гэж харагдахаар байна. Энэ нь Монгол улсын БХЯ-ны төлөвлөгөө, сургуулилалтыг хариуцсан бие бүрэлдэхүүний эсрэг илүү өргөн хүрээг онилсон үйл ажиллагаа байж болохоор байна.

Энэхүү тусгай зориулалтаар бэлтгэгдсэн 2 файлыг уншин нээж ажиллуулах үед “DW20.exe” гэсэн хортой код ажиллагаанд орж дээр дурьдсан удирдлага, хяналт (Command and Control – C2)-ын домэйнуудтай харьцаж эхэлнэ.

Уг хортой код нь  саадгүй ажиллаж чадсан тохиолдолд /2011/n325423.shtml хуудас руу хүсэлт илгээх ба уг хуудасны нэр, хаяг нь хөдөлгөөнгүй заагдсан байв.

Энэ нь нь мөн дараах C2-үүдийн талаархи мэдээллийг агуулсан:

ThreatConnect-ийнхон үүрийг нь лавшруулан ухахад:

Судалгаагаар нэмэлт С2 буюу удирдлага, хяналтын үүрүүд шинээр илэрчээ. Ингээд дээр дурдсан 3 домэйн буюу peaceful.linkpc[.]net, mongolia.regionfocus[.]com, mseupdate.strangled[.]net-тэй нилээд олон үүрүүд давхцаж байгааг TCIRT-ийнхөн ажигласан байна. Хугацааны хувьд 2013 оны 10 сарын эхээр энд дурдагдан байгаа бүх С2 домэйн буюу үүрүүд нь Хонконгийн 113.10.205.236 гэсэн IP хаяг дээр ажиллаж байсан буюу тийшээ давхардаж заагдсан байна.

Ингээд 2011 оны 10 дугаар сарын 7-ноос 2012 оны 10 дугаар сарын 7-ны хоорондох домэйн нэрийн хөрвүүлэлтийг шинжлэхэд будлианы эзэн нөхөр нь Хонконгийн 58.64.200.105 болон 58.64.200.106 гэсэн 2 хаягийг байнга ашигладаг байсныг илрүүлэв.

 Хятадтай холбогдох нь:

Дээр дурдагдсан домэйнуудтай холбоо барих мэдээлэл болон өнөөх Хонконгийн 58.64.200.105 болон 58.64.200.106 хаягууд руу холбоотой байсан домэйнуудыг TCIRT судалжээ. Судалгаа нь эдгээр домэйн нэрсийг бүртгүүлэхэд өгөгдсөн холбоо барих хаягийн мэдээлэл болон энэхүү үйл ажиллагааны хариуцагч байж болох этгээдийн талаар Интернэтэд тавигдсан ямар нэгэн хувь хүний мэдээлэл хооронд ямар нэгэн холбоос байна уу гэдгийг илрүүлэхэд чиглэгдсэн. Сонирхож буй домэйнуудыг бүртгүүлэхэд дараах и-мэйл хаягуудыг ашигласан байна. Үүнд:

Цахим шуудангийн хаяг дээр явуулсан судалгаагаар regionfocus[.]com-ийг бүртгэхэд ашиглагдсан yyan_79@hotmail[.]com хаяг нь 2008 онд бичигдсэн “Research on P2P File Sharing Anti-pollution Strategy” сэдэвтэй академик судалгааны ажилд дурдагдсан байв.

Уг судалгааны ажлын эзэн нь 1979 онд төрсөн “Yun Yan” хэмээх хятад эмэгтэй ба Хятадын Далианы Технологийн Их Сургуулийн Department of Electronic and Information Engineering-д докторт суралцсан гэдгийг давхар илрүүлжээ.

APT1 буюу “Comment Crew”-тай холбогдох нь:

2013 оны 10 дугаар сард, TCIRT дахин нэг хортой вирус илрүүлсэн ба өмнөхтэй мөн адил/2011/n325423.shtml-г уншаад mongolia.regionfocus.com-ийг дуудаж байв. Будлиан таригч нь уг файлийг 2013 оны 10 дугаар сарын 5-ны 07:18GMT-д үүсгээд, 07:23GMT-д буюу ердөө 5минутын дараа  VirusTotal руу оруулан вирусын эсрэг програмд баригдах эсэхийг нь шалгасан байна. Дээр дурдсан энэхүү үйл ажиллагаанд ашиглагдсан арга, техник болон TCIRT-ийн шинжилгээнээс харахад “APT1″ буюу “Comment Crew”-ийнхэн энэхүү хортой вирусыг ашиглаж байж магадгүй байна. Учир нь энэхүү “/2011/n325423.shtml” хандалт нь өмнө APT1-тэй холбоотой хэд хэдэн удаагийн мэдээлэл дотор байсан юм. Өмнө нь APT1-ийн нэгэн хортой вируст хийсэн шинжилгээгээр энэ “/2011/n325423.shtml” хуудсыг уншиж Omaha, Nebraska-д бүртгэлтэй 68.96.31.136 хаяг руу холбогддог хуучирсан С2-ийг дууддаг байжээ.

Энэхүү судалгаагаар 2010 оны 9 дүгэр сарын 18-аас 2013 оны 2 дугаар сарын дунд үе хүртэлх хугацаанд буюу APT1 тайлан олон нийтэд цацагдаж улмаар дээрх үүр болсон домэйнүүдийг толгой дараалан булшилахаас өмнө 68.96.31.136 хаяг руу холбогддог байсан APT1-ийн хуучирсан олон домэйнийг илрүүлжээ.

“Safe” компанит ажил үргэлжилсээр:

Бас нэг тусдаа хортой кодыг  TCIRT-ийнхэн  нэмж шинжилсэн ба энэ нь мөн адил алдаан дээр дөрөөлдөг ч өөр С2 рүү холбогддог гэх сэжүүр гарсан байна. Үүний хувьд, урхи бүхий уг баримт нь мөн Монгол хэл дээр бичигдсэн гэхдээ дээр дурдсан өмнөх 2 жишээтэй хамааралгүй мэт харагдахаар байна. Уг баримтыг орчуулахад энэ нь 2013 оны 6 дугаар сард болсон Монгол Улсын Ерөнхийлөгчийн  сонгуультай холбоотой байв.

Шинжээчийн тайлбар: Дээр дурдсан “Comment Crew”-ийн ажиллагаа болон энэхүү“Safe” -ын хооронд ямар ч байсан холбоотой гэхээргүй байна.

Файлыг нээхээр ажиллуулах үед, энэ нь C:DOCUME~1ADMINI~1LOCALS~1TempSafeNet хавтас дотор дараахи файлуудыг үүсгэнэ.

Харин SafeCredential.DAT нь mongolbaatarsonin[.]in гэсэн С2 домэйн руу хөдөлгөөнгүй заагдсан ба RC4 инкришн түлхүүр, “0411″ гэсэн тайг зэргийг агуулсан байв. Үүнд:

Уг dw20.exe хортой вирус нь ажиллах үедээ HTTP-ээр холбогдохоор зохиомжлогдсон ба хэрэглэгчийн вэб хөтчийн талаархи мэдээлэл дээрээ “Fantasia” гэсэн давтагдашгүй тэмдэгтийн цувааг агуулсан байна.

Энэхүү илрүүлсэн ажиллагаа нь TrendMicro-ийн “Safe” хэмээн  TROJ_DROPER.SMA гэдэг хортой вирус гэж таньсан үйлдэлтэй төстэй байв. 2013 оны 3 дугаар сард TrendMicro-оос гаргасан нийтлэлд дурдсанаар энэ үйл ажиллагаатай маш төстэй боловч арай өөр С2 серверийн хослолтой ба mongolbaatar[.]us болон mongolbaatarsonin[.]in гэсэн домэйнууд орсон байв. TrendMicro-ийн дурдсанаар, энэхүү үүрийг Монгол, Түвдэд золионы этгээдээ онилоход ашиглагдаж байсан гэжээ. Энэхүү жишээ нь Монголын асуудалтай холбоотой хувь хүн, байгууллагыг онилох “Safe”-ийг зохиогчийн талын сонирхол хэвээр байгааг илтгэнэ.

Халдагч этгээдийн сэдлийг хөдөлгөх шалтгаан:

АНУ-аас Монгол улсад үзүүлж буй цэргийн дэмжлэг

Ийнхүү довтлогч этгээд ямар учраас манай улсыг сонирхох болсон шалтгаан нь тун сонирхолтой. Учир юун гэвэл Хааны эрэлд буюу АНУ-ын тэнгисийн явган цэрэгтэй  МУ-ын Зэвсэгт хүчин хээрийн сургуулилтыг жил бүр хамтран зохион байгуулдаг аж.

Уг сургуулилтанд  Монгол, АНУ, Австрали, Канад, Франц, Герман, Япон, Энэтхэг, Балба, БНСУ, Тажикстан, Их Британий нэгдсэн вант улс, Вьетнам зэрэг улс орнуудаас ойролцоогоор 1000 орчим цэрэг эрс оролцсон сургуулилт энэ оны 08 сарын 3-14-ний хооронд болсон гэх мэдээлэл бий.

Энэ нь дотоодын батлан хамгаалах салбарын хүний нөөцийн мэдлэг, чадварыг дээшлүүлэх,  хоёр орны найрамдалдт харилцааг хөгжүүлэх, техникийн дэмжлэг, хүн хүчний дэмжлэг авах гэх зэрэг олон талын ач холбогдолтой юм.  Өмнөх хугацаанд манай улс дан ганц хоёр зэргэлдээх  хөрш улсуудын дэмжлэгийг авч байсан гэхэд хислдэхгүй бөгөөд ийнхүү гуравдагч хөршийн харилцааг бэхжүүлсэнээрээ тодорхой хэмжээнд шинэчлэлт, өөрчлөлтийг авчирч байгаа ч урд хөршийн маань хувьд энэ нь  Азиас үзүүлж буй бодлогын хувьд уг үйл ажиллагаа нь “хүчтэй тээг” гэж үзээд зогсохгүй үүнийг анхааралдаа ийнхүү авсан нь илт байна гэж шинжээчид дүгнэжээ.

Монголын гадаад харилцаа

Монгол улс нь 2012 оны 11 дүгээр сарын 21-нд Европын аюулгүй байдал, хамтын ажиллагааны байгууллага (ЕАБХАБ)-д нэгдсэн 57 дахь улс болсон. Ардчилалын тогтолцоо ба Хүний эрхийн төлөөх ЕАБХАБ-аас 6 дугаар сарын 26-нд болсон Монгол Улсын Ерөнхийлөгчийн сонгуулийг ажигласан юм. Орос, Хятадтай асар өргөн зурвасаар хиллэдэгээ үл хайхран тусгаар тогтнолоо хамгаалахын тулд “гуравдагч хөрш” хэмээх АНУ, Япон, БНСУ болон Европын холбоо зэргээс дэмжлэг авахаар Монгол улс хичээн чармайж байгаа. Монгол улс ЕАБХАБ-д нэгдсэнээр бүс нутгийн тэнцвэрт байдлыг хангах баталгаа гэж найдаж байгаа ба улмаар Орос-Хятадаар хязгаарлагдсан геополитикоос гарах арга зам нь бүс нутаг, олон улсын нийгэмлэгийн бүрэн эрхэт, биеэ даасан гишүүн болох явдал юм. Монгол улсын баруунд тулгуулсан стратеги нь зөвхөн Хятадын нөлөөлөлийг бууруулах юм.

Дүгнэлт:

Энэхүү үйлдэл нь Монгол улсад өөрийн сонирхолыг эрсдэлд оруулах талтай гэж үзсэн байгууллагуудын эсрэг чиглэсэн бөгөөд Хятадын Computer Network Exploitation (CNE) хэмээх байгууллагын үйл ажиллагаа гэхээр байгаа юм. Дээр дурдсан, тусгайлан бэлтгэсэн Хааны эрэлд баримтад тулгуурлан Хятадын APT бүлэглэл нь Монгол улсын цэрэг, армитай хамтарсан үйл ажиллагаа явуулсан АНУ-ын цэргийн бүрэлдэхүүнийг үргэлжлүүлэн онилсон байх магадлалтай байна. Мөн тэрчилэн, Монголтой хамтарсан баруун Европын болон бусад улсын засгийн газрууд руу CNE хараагаа шилжүүлсэн байж болохоор байна. Монгол улсын байгалийн баялагт оруулсан Хятадын эдийн засгийн том хөрөнгө оруулалт нь Монгол улс дахь Хятадын уул уурхай, эрчим хүчний компаниудтай өрсөлдөх магадлалтай ашгийн төлөөх Монгол улсын хуулийн этгээдүүд ялангуяа уул уурхай, эрчим хүчний компаниудын эсрэг кибер тагнах үйл ажиллагаагаа үргэлжлүүлсээр байх магадлалтай юм. Энэхүү аюултай холбоотой дэлгэрэнгүй мэдээллийг бид  ThreatConnect-ийн бүх систем дотроо “20130910A: KQ14 – CDC Document Exploit” гэж нэрлэн түгээсэн байгаа. Хэрвээ танай байгууллага одоо оршин байгаа эсвэл шинээр үүсч буй аюулын талаар мэдлэг, ойлголтоо нэмэгдүүлж мэргэшсэн, бүлэг этгээдүүдийн үүсгэсэн аюулын талаархи мэдээ, мэдээллийг хүлээн авахыг хүсч байгаа бол ThreatConnect-т бүртгүүлж бидэнтэй нэгдэн хамтарна уу гэжээ.

“ҮНДЭСНИЙ ДАТА ТӨВ” УТҮГ