Packrat

Хакерската група Packrat е Advanced Persistent Threat (APT), която е извършила няколко мащабни операции, съсредоточени в Южна Америка – Аржентина, Бразилия и Еквадор. Дейността на групата Packrat достигна своя връх през 2015 г. Заплахата от Packrat има тенденция да извършва фишинг и операции за кражба на данни, наред с разузнавателни кампании. Изследователите по киберсигурност са избрали това име за тази хакерска група, тъй като предпочитаният от тях инструмент е RAT (троянски коне за отдалечен достъп). Повечето от RAT, използвани от групата Packrat, изглежда са това, което често се нарича зловреден софтуер като стока. Това означава, че хакерските инструменти, използвани от групата Packrat, се купуват или наемат предимно. Актьорът от Packrat изглежда е специализиран в социалното инженерство, а не в изграждането на зловреден софтуер от нулата.

Хакерската група Packrat вероятно ще има много опит в областта на киберпрестъпленията. Кампаниите им са сложни и добре изпълнени. Известно е, че този актьор на заплахи създава фалшиви самоличности и цели измамни компании и организации, за да направят своите трикове за социално инженерство възможно най-излъскани. Някои експерти по зловреден софтуер смятат, че групата Packrat може да е спонсорирана от правителството. Това се дължи на факта, че мишените на заплахата от Packrat често са високопоставени политици, разследващи журналисти, медийни организации и други големи компании от интерес. Освен това изглежда, че кампаниите, провеждани от хакерската група Packrat, са доста скъпи за поддръжка – вероятно в стотици хиляди долари.

Групата Packrat ще разпространява своите заплахи чрез фишинг операции. Тези кампании ще включват споменатите по-рано фалшиви организации и самоличности, създадени от нападателите. Някои от целите на групата Packrat също биха били фишинг чрез текстови съобщения. Сред най-често използваните заплахи от страна на пазите заплашва актьор са Alien Spy , Adzok, Cybergate и Xtreme RAT . Фишинг кампаниите на хакерската група Packrat ще бъдат насочени към идентификационни данни за влизане в популярни уебсайтове и услуги като Facebook, Twitter, Google и различни помощни програми за незабавни съобщения. За да усъвършенства тактиката си за социално инженерство, заплахата от Packrat също ще създаде фалшиви уеб страници, чиято единствена цел е дезинформация, която подхранва техните сложни недостатъци.

Хронология на събитията

2008-2013 г

Инструментите и инфраструктурата за командване и контрол, които групата Packrat използва, предполага, че те са работили активно още през 2008 г. През първите пет години от дейността на групата, участниците в заплахите са използвали хостинг услуги, разположени в Бразилия, като някои от техните образци на злонамерен софтуер са качени в онлайн услуги за сканиране на вируси от бразилски IP адреси. Много от примерните съобщения, които групата Packrat използва, за да примамва жертви през този период, бяха пълни със съдържание от бразилско социално инженерство, което предполага, че хакерите са се насочили изключително към най-голямата южноамериканска страна.

2014-2015 г

След сравнително безпроблемен период, Packrat навлезе в дълбоки води, когато се насочи към известния аржентински журналист и телевизионен водещ Хорхе Ланата и Алберто Нисман , високопоставен аржентински адвокат и федерален прокурор. Предполага се, че Нисман е имал уличаващи доказателства срещу високопоставени служители на аржентинското правителство, включително тогавашния президент на Аржентина Кристина Елизабет Фернандес де Киршнер .

Откриването на злонамерения софтуер, използван от групата Packrat, е направено, когато Нисман е намерен мъртъв от огнестрелна рана в апартамента си в Буенос Айрес на 18 януари 2015 г. Криминалистичната лаборатория в столичната полиция в Буенос Айрес изследва телефона на Nisman с Android и откри злонамерен файл наречен '' estrictamente secreto y confidencial.pdf.jar '', което се превежда като '' строго секретно и поверително '' на английски.

Идентичен файл по-късно беше качен в онлайн база данни за вируси от Аржентина, разкривайки, че е AlienSpy, инструментариум за отдалечен достъп за злонамерен софтуер като услуга, който дава на участниците в заплахата възможността да записват дейностите на жертвите си, да имат достъп до тяхната уеб камера, имейл и Повече ▼. Файлът е създаден за Windows, което означава, че нападателите може да са били неуспешни в опитите си да хакнат Nisman, който го отвори на телефона си с Android.

След като откритието за злонамерен софтуер беше оповестено публично, други излязоха, казвайки, че и те са били насочени. Максимо Кирхнер, син на тогавашния президент на Аржентина Кристина Елизабет Фернандес де Кирхнер и бившия аржентински президент Нестор Киршнер , твърди, че е бил насочен към същия зловреден софтуер, предоставяйки екранни снимки на имейл, който е получил от някой, който се представя за аржентинския съдия Клаудио Бонадио с адрес claudiobonadio88@gmail.com .

Имейл, получен от Máximo Kirchner. Източник: ambito.com

Първоначалният анализ на Morgan Marquis-Boire от Citizen Lab разкри, че злонамереният софтуер, използван срещу Kircher, Lanata и Nisman, е свързан със сървър за командване и контрол (C2), наречен deyrep24.ddns.net. При по-нататъшна проверка беше установено, че същият домейн deyrep24.ddns.net C2 се използва от три други проби от злонамерен софтуер. Една от пробите беше злонамерен документ на име „ 3 MAR PROYECTO GRIPEN.docx.jar “ и се предполагаше, че съдържа комуникация между посланика на Еквадор в Швеция и президента на Еквадор Рафаел Кореа по въпроса за придобиването на изтребител.

Изследователи от Citizen Lab направиха по-нататъшни проучвания, след като получиха множество доклади за фишинг атаки срещу журналисти и обществени личности в Еквадор през 2015 г. Много от злонамерените имейли и SMS, които те изследваха, не бяха с политическа тематика, а бяха просто събирачи на идентификационни данни за различни доставчици на имейли и социални медии. По-нататъшни изследвания разкриха, че кампанията в Еквадор включваше изрично политическо съдържание, засягащо голямо разнообразие от политически въпроси и фигури в страната, както и създаването на много фалшиви профили и организации.

Изследователите разкриха огромна мрежа от взаимовръзки между злонамерен софтуер и фишинг сайтове, използвани в обширната кампания в Еквадор. Зловредният софтуер, който разпространяваха, беше предимно Java RAT, като AlienSpy и Adzok. Много от уебсайтовете споделяха регистрационна информация, докато образците на зловреден софтуер обикновено комуникираха с daynews.sytes.net, домейн, който също е свързан с аржентинските случаи. Разследването разкри също фалшиви сайтове във Венецуела и инфраструктура в Бразилия.

Инфраструктурата C2 на Packrat. Източник: citizenlab.ca

Хакерската група Packrat има добре развита инфраструктура, която остава относително сигурна от няколко години. Мащабните, скъпи и добре излъскани кампании, провеждани от хакерската група Packrat, сочат спонсориран от държавата актьор, който е добре финансиран и поддържан.

Packrat екранни снимки