Packrat

El grup de pirateria Packrat és una amenaça persistent avançada (APT) que ha dut a terme diverses operacions de gran abast concentrades a Amèrica del Sud: Argentina, Brasil i Equador. L'activitat del grup Packrat va assolir el seu punt àlgid l'any 2015. L'actor d'amenaces Packrat acostuma a dur a terme operacions de pesca i robatori de dades, juntament amb campanyes de reconeixement. Els investigadors de ciberseguretat han escollit aquest nom per a aquest grup de pirateria, ja que la seva eina preferida són els RAT (troians d'accés remot). La majoria de les RAT utilitzades pel grup Packrat semblen ser el que sovint es coneix com a programari maliciós com a mercaderia. Això vol dir que les eines de pirateria utilitzades pel grup Packrat es compren o lloguen majoritàriament. L'actor de Packrat sembla especialitzar-se en enginyeria social en lloc de crear programari maliciós des de zero.

És probable que el grup de pirates informàtics Packrat tingui molta experiència en el camp de la ciberdelinqüència. Les seves campanyes són complexes i ben executades. Se sap que aquest actor d'amenaces crea identitats falses i empreses i organitzacions fraudulentes senceres per fer que els seus trucs d'enginyeria social siguin tan polits com sigui possible. Alguns experts en programari maliciós creuen que el grup Packrat pot estar patrocinat pel govern. Això es deu al fet que els objectius de l'actor d'amenaça Packrat són sovint polítics d'alt rang, periodistes d'investigació, organitzacions de mitjans i altres grans empreses d'interès. A més, sembla que les campanyes realitzades pel grup de pirateria Packrat són força costoses de mantenir, probablement en centenars de milers de dòlars.

El grup Packrat propagaria les seves amenaces mitjançant operacions de pesca. Aquestes campanyes inclourien les organitzacions i identitats falses esmentades anteriorment creades pels atacants. Alguns dels objectius del grup Packrat també serien phishing mitjançant missatges de text. Entre les amenaces més utilitzades per l'actor amenaçador de Packrat es troben Alien Spy , Adzok, Cybergate i Xtreme RAT . Les campanyes de pesca del grup de pirateria Packrat apuntarien a les credencials d'inici de sessió per a llocs web i serveis populars com Facebook, Twitter, Google i diverses utilitats de missatgeria instantània. Per perfeccionar les seves tàctiques d'enginyeria social, l'actor d'amenaces de Packrat també crearà pàgines web falses l'únic objectiu de les quals és la desinformació que s'alimenta dels seus elaborats contras.

Cronologia dels Esdeveniments

2008-2013

Les eines i la infraestructura de comandament i control que utilitza el grup Packrat suggereixen que estaven operant activament ja el 2008. Durant els primers cinc anys de funcionament del grup, els actors de l'amenaça van utilitzar serveis d'allotjament situats al Brasil, amb algunes de les seves mostres de programari maliciós. penjat als serveis d'anàlisi de virus en línia des d'IP brasileres. Molts dels missatges de mostra que el grup Packrat va utilitzar per esquer a les víctimes en aquell període estaven plens de contingut d'enginyeria social brasilera, cosa que suggereix que els pirates informàtics havien apuntat exclusivament al país sud-americà més gran.

2014-2015

Després d'un període relativament tranquil, Packrat va entrar en aigües profundes quan es va dirigir al conegut periodista argentí i presentador de notícies de televisió Jorge Lanata i Alberto Nisman , un important advocat i fiscal federal argentí. Nisman suposadament tenia proves incriminatòries contra alts càrrecs del govern argentí, inclosa l'aleshores presidenta de l'argentina Cristina Elisabet Fernández de Kirchner .

El descobriment del programari maliciós utilitzat pel grup Packrat es va fer quan Nisman va ser trobat mort per una ferida de bala al seu apartament de Buenos Aires el 18 de gener de 2015. El laboratori forense de la Policia Metropolitana de Buenos Aires va examinar el telèfon Android de Nisman i va trobar un fitxer maliciós. anomenada '' estrictament secreto i confidencial.pdf.jar '', que es tradueix a '' estrictament secret i confidencial '' en anglès.

Més tard es va penjar un fitxer idèntic a una base de dades de virus en línia d'Argentina, que va revelar que era AlienSpy, un conjunt d'eines d'accés remot de programari maliciós com a servei que ofereix als actors d'amenaces la possibilitat d'enregistrar les activitats de la seva víctima, accedir a la seva càmera web, correu electrònic i més. El fitxer es va crear per a Windows, el que significa que els atacants podrien no haver tingut èxit en els seus intents de piratejar Nisman, que el va obrir al seu telèfon Android.

Després que la troballa de programari maliciós es va fer pública, altres es van presentar, dient que també havien estat atacats. Máximo Kirchner, fill de l'aleshores presidenta de l'Argentina Cristina Elisabet Fernández de Kirchner i de l'expresident argentí Néstor Kirchner , va afirmar que va ser objectiu del mateix programari maliciós, proporcionant captures de pantalla d'un correu electrònic que va rebre d'algú que es feia passar per el jutge argentí Claudio Bonadio amb una adreça. claudiobonadio88@gmail.com .

Correu electrònic rebut per Máximo Kirchner. Font: ambito.com

Una anàlisi inicial de Morgan Marquis-Boire de Citizen Lab va revelar que el programari maliciós utilitzat contra Kircher, Lanata i Nisman estava vinculat a un servidor de comandament i control (C2) anomenat deyrep24.ddns.net. Es va trobar que el mateix domini deyrep24.ddns.net C2 era utilitzat per altres tres mostres de programari maliciós després d'una inspecció posterior. Una de les mostres era un document maliciós anomenat '' 3 MAR PROYECTO GRIPEN.docx.jar '' i suposadament contenia una comunicació entre l'ambaixador de l'Equador a Suècia i el president equatorià Rafael Correa sobre la qüestió de l'adquisició d'avions de caça.

Els investigadors de Citizen Lab van fer més investigacions després de rebre nombrosos informes d'atacs de pesca contra periodistes i personatges públics a l'Equador el 2015. Molts dels correus electrònics i SMS maliciosos que van examinar no eren de temàtica política, sinó que només eren recol·lectors de credencials per a diferents proveïdors de correu electrònic i xarxes socials. mitjans de comunicació. Investigacions posteriors van revelar que la campanya a l'Equador incloïa contingut explícitament polític, sobre una gran varietat de qüestions i figures polítiques del país, així com la creació de molts perfils i organitzacions falsos.

Els investigadors van descobrir una vasta xarxa d'interconnexió entre programari maliciós i llocs de pesca, utilitzat en l'extensa campanya equatoriana. El programari maliciós que van distribuir eren principalment Java RAT, com AlienSpy i Adzok. Molts dels llocs web compartien informació de registre, mentre que les mostres de programari maliciós normalment es comunicaven amb daynews.sytes.net, un domini que també està vinculat als casos argentins. La investigació també va revelar llocs falsos a Veneçuela i infraestructures al Brasil.

Infraestructura C2 de Packrat. Font: citizenlab.ca

El grup de pirateria Packrat té una infraestructura ben desenvolupada que s'ha mantingut relativament segura durant diversos anys. Les campanyes a gran escala, costoses i ben polides realitzades pel grup de pirateria Packrat apunten a un actor patrocinat per l'estat que està ben finançat i mantingut.

Packrat captures de pantalla