WgetCloud: прокси-сервис стал прибежищем для хакеров, а затем — их приговором

Spur DDoSecrets WgetCloud Kimsuky Китай
WgetCloud: прокси-сервис стал прибежищем для хакеров, а затем — их приговором
Spur DDoSecrets WgetCloud Kimsuky Китай

Хакеры Kimsuky поняли, что платить за анонимность бессмысленно, когда у тебя нет своего уникального сертификата.

image

Несколько дней назад на сайте DDoSecrets появился дамп данных, который приписывается рабочей станции участника кампании против организаций в Южной Корее и на Тайване. Автор публикации связывает активность с северокорейской группой Kimsuky , однако сама атрибуция верификации не прошла и остаётся на совести профильных аналитических команд. Компания Spur, специализирующаяся на разведке по анонимизирующей инфраструктуре, получила от клиента подсказку по IP и разобрала, что именно стояло за прокси-узлами, фигурировавшими в утечке.

Отправной точкой стало указанное в документах адресное и криптографическое «комбо»: IP 156.59.13[.]153 отвечал на нестандартном порту 4012 и предъявлял сертификат с Common Name *.appletls[.]com (SHA-1: a26c0e8b1491eda727fd88b629ce886666387ef5). Поиск по отпечатку показал свыше тысячи других IP-адресов с тем же сертификатом, причём часть слушала сразу несколько портов из «сороковых» — 40xx. Большинство узлов размещено в Китае, но десятки разбросаны по дата-центрам в других странах. Это тянуло на организованную сеть, и оставался вопрос: коммерческий сервис или самосборная прокси-ферма операторов?

Технические зацепки быстро свели расследование к протоколу Trojan — популярной схеме обхода Великого китайского файрвола за счёт мимикрии под обычный HTTPS. По конфигам видно, что используется Trojan. Узлы с меткой ganode[.]org при подключении предъявляют тот же сертификат *.appletls[.]com, что фигурировал в утечке. Такой же признак Spur обнаружила у нод WgetCloud (ранее GaCloud), что и связало активность с этим провайдером.

WgetCloud — это платный прокси/VPN-провайдер . Интерфейсы и документация — на китайском, тарифная линейка из трёх уровней; в максимальном доступны 29 выходных локаций (включая Китай, Сингапур, США, Германию, Австралию, Россию и др.). Оплата принимается через WeChat, Alipay и TRC20, месячная подписка — около $8–$12. После покупки выдаётся «subscription URL» — ссылка на base64-файл со списком узлов, который подключается в любом клиенте с поддержкой Trojan.

Полевое подтверждение свело воедино все признаки. Проверка выбранных IP:порт из списка через openssl показала тот самый сертификат *.appletls[.]com. При реальной работе узлов выходные IP также предъявляли «золотой» сертификат. В результате Spur связала фигурировавший в утечке сингапурский адрес с узлом WgetCloud. Остаётся открытым, купил ли злоумышленник подписку или получил доступ к ноде иным образом, но ключевой вывод ясен: коммерческая Trojan-инфраструктура легко сливается с APT-трафиком и усложняет атрибуцию.

Картина получилась показательной: одного сертификата, одного диапазона портов и пары строк в GitHub достаточно, чтобы развернуть цепочку от «анонимного» IP до конкретного китайского провайдера Trojan-прокси. При этом претензия на связь с Kimsuky остаётся гипотезой из исходной публикации: подтверждать или опровергать её — задача разведсообществ. Но уже сейчас видно, как коммерческие прокси-платформы становятся удобным укрытием для шпионских кампаний, а защита и атрибуция всё чаще упираются не в «железобетонные» IOC, а в кропотливую корреляцию сетевых мелочей.