Как утверждают эксперты Mandiant, хакеры из кибергруппировки APT 29 (Cozy Bear) на протяжении двух лет использовали технику domain fronting для того, чтобы обеспечить для себя безопасный доступ к системам своих жертв.
Domain fronting – это техника для сокрытия настоящей конечной точки подключения. Она позволяет подключаться к нужному домену, при этом со стороны будет создаваться впечатление, что подключение осуществляется к абсолютно иному домену. Впервые данную технику подробно описали ученые из Калифорнийского университета в Беркли в 2015 году, но хакеры из APT 29 начали применять ее раньше.
Tor задействует транспортный протокол meek, который позволяет осуществлять подключение к заблокированным веб-сайтам. Роль прокси в данном случае исполняет сеть доставки содержимого (CDN) – Akamai, Cloudflare или Google. В результате для того, чтобы заблокировать доступ к веб-ресурсу, цензоры будет вынуждены осуществить блокировку всей сети.
По словам эксперта из Mandiant Мэттью Данвуди, для того, чтобы обеспечить себе доступ к целевым системам, хакеры из APT 29 воспользовались скрытым сервисом в сети Tor. Используя зашифрованный туннель, они перенаправляли трафик от клиента на локальные порты 139, 445 и 3389. Как утверждает Данвуди, хакеры могли таким образом с помощью скрытого адреса в Tor получать полный доступ к целевой системе.
Действия хакеров оставались незамеченными, поскольку внешне все выглядело так, будто они осуществляли подключение к Google посредством TLS. Обычные HTTPS POST-запросы передавались на google.com, но в действительности трафик отправлялся в сеть Tor через сервер meek-reflect.appspot.com.