باكرات

مجموعة القرصنة Packrat هي تهديد متقدم ومستمر (APT) نفذت عدة عمليات بعيدة المدى تركزت في أمريكا الجنوبية - الأرجنتين والبرازيل والإكوادور. وصل نشاط مجموعة Packrat إلى ذروته في عام 2015. يميل ممثل التهديد Packrat إلى تنفيذ عمليات التصيد وسرقة البيانات ، إلى جانب حملات الاستطلاع. اختار باحثو الأمن السيبراني هذا الاسم لمجموعة القرصنة هذه لأن أداتهم المفضلة هي RATs (أحصنة طروادة للوصول عن بُعد). يبدو أن معظم RATs التي تستخدمها مجموعة Packrat هي ما يشار إليه غالبًا بالبرامج الضارة كسلعة. هذا يعني أن أدوات القرصنة التي تستخدمها مجموعة Packrat يتم شراؤها أو استئجارها في الغالب. يبدو أن ممثل Packrat متخصص في الهندسة الاجتماعية بدلاً من بناء برامج ضارة من الصفر.

من المرجح أن تتمتع مجموعة القرصنة Packrat بخبرة كبيرة في مجال الجرائم الإلكترونية. حملاتهم معقدة وجيدة التنفيذ. يُعرف ممثل التهديد هذا بإنشاء هويات مزيفة وشركات ومؤسسات احتيالية كاملة لجعل حيل الهندسة الاجتماعية الخاصة بهم مصقولة قدر الإمكان. يعتقد بعض خبراء البرمجيات الخبيثة أن مجموعة Packrat قد تكون مدعومة من الحكومة. ويرجع ذلك إلى حقيقة أن أهداف ممثل باكرات المهدد غالبًا هم سياسيون رفيعو المستوى وصحفيون استقصائيون ومؤسسات إعلامية وشركات كبيرة أخرى ذات أهمية. علاوة على ذلك ، يبدو أن الحملات التي نفذتها مجموعة القرصنة Packrat مكلفة إلى حد ما - على الأرجح بمئات الآلاف من الدولارات.

ستنشر مجموعة Packrat تهديداتهم عبر عمليات التصيد الاحتيالي. ستشمل هذه الحملات المنظمات والهويات المزيفة المذكورة سابقًا والتي أنشأها المهاجمون. بعض أهداف مجموعة Packrat ستكون التصيد الاحتيالي عبر الرسائل النصية أيضًا. من بين التهديدات الأكثر استخدامًا من قبل ممثل التهديد Packrat ، Alien Spy و Adzok و Cybergate و Xtreme RAT . تستهدف حملات التصيد الاحتيالي لمجموعة اختراق Packrat بيانات اعتماد تسجيل الدخول لمواقع الويب والخدمات الشهيرة مثل Facebook و Twitter و Google والعديد من أدوات المراسلة الفورية. لإتقان تكتيكات الهندسة الاجتماعية الخاصة بهم ، سيقوم ممثل التهديد الخاص بـ Packrat أيضًا بإنشاء صفحات ويب مزيفة هدفها الوحيد هو التضليل الذي يغذي سلبياتهم المفصلة.

الجدول الزمني للأحداث

2008-2013

تشير الأدوات والبنية التحتية للقيادة والتحكم التي تستخدمها مجموعة Packrat إلى أنها كانت تعمل بنشاط في وقت مبكر من عام 2008. خلال السنوات الخمس الأولى من عمل المجموعة ، استخدم ممثلو التهديد خدمات الاستضافة الموجودة في البرازيل ، مع وجود بعض عينات البرامج الضارة الخاصة بهم تم تحميله إلى خدمات فحص الفيروسات عبر الإنترنت من عناوين IP البرازيلية. تمتلئ العديد من نماذج الرسائل التي استخدمتها مجموعة Packrat لطعم الضحايا في تلك الفترة بمحتوى الهندسة الاجتماعية البرازيلية ، مما يشير إلى أن المتسللين استهدفوا أكبر دولة في أمريكا الجنوبية بشكل حصري.

2014-2015

بعد فترة هادئة نسبيًا ، دخلت باكرات المياه العميقة عندما استهدفت الصحفي الأرجنتيني الشهير ومقدم الأخبار التلفزيونية خورخي لاناتا وألبرتو نيسمان ، المحامي الأرجنتيني البارز والمدعي الفيدرالي. من المفترض أن لدى نيسمان أدلة تدين مسؤولين رفيعي المستوى في الحكومة الأرجنتينية ، بما في ذلك الرئيسة الحالية للأرجنتين كريستينا إليزابيت فرنانديز دي كيرشنر .

تم اكتشاف البرنامج الضار الذي استخدمته مجموعة Packrat عندما تم العثور على نيسمان ميتًا متأثرًا بجرح من طلق ناري في شقته في بوينس آيرس في 18 يناير 2015. فحص مختبر الطب الشرعي في شرطة العاصمة بوينس آيرس هاتف Nisman الذي يعمل بنظام Android ووجد ملفًا ضارًا المسماة " estrictamente secreto y confidencial.pdf.jar " ، والتي تُترجم إلى " سرية للغاية وسرية " باللغة الإنجليزية.

تم تحميل ملف مماثل لاحقًا إلى قاعدة بيانات فيروسات عبر الإنترنت من الأرجنتين ، وكشف أنه AlienSpy ، وهي مجموعة أدوات للوصول عن بُعد للبرامج الضارة كخدمة والتي تمنح الجهات الفاعلة في التهديد القدرة على تسجيل أنشطة ضحيتها ، والوصول إلى كاميرا الويب والبريد الإلكتروني و أكثر. تم إنشاء الملف لنظام Windows ، مما يعني أن المهاجمين ربما لم ينجحوا في محاولاتهم لاختراق Nisman ، الذي فتحه على هاتف Android الخاص به.

بعد الإعلان عن اكتشاف البرامج الضارة ، تقدم آخرون قائلين إنه تم استهدافهم أيضًا. ادعى ماكسيمو كيرشنر ، نجل الرئيسة الحالية للأرجنتين كريستينا إليزابيت فرنانديز دي كيرشنر والرئيس الأرجنتيني السابق نيستور كيرشنر ، أنه تم استهدافه بواسطة نفس البرنامج الضار ، حيث قدم لقطات من رسالة بريد إلكتروني تلقاها من شخص ينتحل شخصية القاضي الأرجنتيني كلاوديو بوناديو بعنوان claudiobonadio88@gmail.com .

[عنوان معرف = "attachment_501190" محاذاة = "aligncenter" العرض = "300"] تلقى البريد الإلكتروني من قبل Máximo Kirchner. المصدر: ambito.com [/ caption]

كشف تحليل أولي أجراه Morgan Marquis-Boire من Citizen Lab أن البرامج الضارة المستخدمة ضد Kircher و Lanata و Nisman كانت مرتبطة بخادم القيادة والسيطرة (C2) المسمى deyrep24.ddns.net. تم العثور على نفس المجال deyrep24.ddns.net C2 ليتم استخدامه بواسطة ثلاث عينات أخرى من البرامج الضارة عند إجراء مزيد من الفحص. كانت إحدى العينات عبارة عن مستند ضار باسم " 3 MAR PROYECTO GRIPEN.docx.jar " ومن المفترض أنه يحتوي على اتصال بين سفير الإكوادور في السويد والرئيس الإكوادوري رافائيل كوريا بشأن مسألة شراء طائرة مقاتلة.

أجرى باحثون من Citizen Lab مزيدًا من الأبحاث بعد تلقي العديد من التقارير عن هجمات التصيد الاحتيالي ضد الصحفيين والشخصيات العامة في الإكوادور في عام 2015. العديد من رسائل البريد الإلكتروني والرسائل النصية الخبيثة التي فحصوها لم تكن ذات طابع سياسي ولكنها كانت مجرد حصاد بيانات اعتماد لمختلف مقدمي خدمات البريد الإلكتروني ووسائل التواصل الاجتماعي وسائط. كشفت أبحاث أخرى أن الحملة في الإكوادور تضمنت محتوى سياسيًا صريحًا ، يتعلق بمجموعة واسعة من القضايا والشخصيات السياسية في البلاد ، فضلاً عن إنشاء العديد من الملفات الشخصية والمنظمات المزيفة.

كشف الباحثون النقاب عن شبكة واسعة من الترابط بين البرامج الضارة ومواقع التصيد ، المستخدمة في الحملة الإكوادورية المكثفة. كانت البرامج الضارة التي وزعوها في الغالب عبارة عن Java RATs ، مثل AlienSpy و Adzok. شاركت العديد من مواقع الويب معلومات التسجيل ، بينما كانت عينات البرامج الضارة تتواصل عادةً مع daynews.sytes.net ، وهو مجال مرتبط أيضًا بقضايا الأرجنتين. كما كشف التحقيق عن مواقع وهمية في فنزويلا وبنية تحتية في البرازيل.

[عنوان معرف = "attachment_501254" محاذاة = "aligncenter" العرض = "300"] البنية التحتية C2 الخاصة بـ Packrat. المصدر: citylab.ca [/ caption]

تمتلك مجموعة القرصنة Packrat بنية تحتية متطورة ظلت آمنة نسبيًا لعدة سنوات. تشير الحملات واسعة النطاق والمكلفة والمصقولة جيدًا التي نفذتها مجموعة Packrat للقرصنة إلى ممثل ترعاه الدولة ويتم تمويله جيدًا وصيانته.

باكرات لقطة