Packrat

Hackerská skupina Packrat je Advanced Persistent Threat (APT), která provedla několik dalekosáhlých operací soustředěných v Jižní Americe – Argentině, Brazílii a Ekvádoru. Aktivita skupiny Packrat dosáhla svého vrcholu v roce 2015. Aktér ohrožení Packrat má tendenci provádět operace phishingu a krádeže dat spolu s průzkumnými kampaněmi. Výzkumníci v oblasti kybernetické bezpečnosti zvolili tento název pro tuto hackerskou skupinu, protože jejich preferovaným nástrojem je RATs (Remote Access Trojans). Zdá se, že většina RAT používaných skupinou Packrat je to, čemu se často říká malware jako komodita. To znamená, že hackerské nástroje používané skupinou Packrat jsou většinou zakoupeny nebo pronajaty. Zdá se, že herec Packrat se specializuje spíše na sociální inženýrství než na vytváření malwaru od nuly.

Hackerská skupina Packrat je pravděpodobně velmi zkušená v oblasti kybernetické kriminality. Jejich kampaně jsou složité a dobře provedené. O tomto aktérovi hrozeb je známo, že vytváří falešné identity a celé podvodné společnosti a organizace, aby jejich triky sociálního inženýrství byly co nejdokonalejší. Někteří experti na malware se domnívají, že skupina Packrat může být sponzorována vládou. Důvodem je skutečnost, že cílem aktéra hrozby Packrat jsou často vysoce postavení politici, investigativní novináři, mediální organizace a další velké zájmové společnosti. Kromě toho by se zdálo, že údržba kampaní prováděných hackerskou skupinou Packrat je poměrně nákladná – pravděpodobně ve stovkách tisíc dolarů.

Skupina Packrat by šířila své hrozby prostřednictvím phishingových operací. Tyto kampaně by zahrnovaly dříve zmíněné falešné organizace a identity vytvořené útočníky. Některé z cílů skupiny Packrat by také phishing prostřednictvím textových zpráv. Mezi nejčastěji používané hrozby ze strany Packratského herce patří Alien Spy , Adzok, Cybergate a Xtreme RAT . Phishingové kampaně hackerské skupiny Packrat by se zaměřovaly na přihlašovací údaje pro oblíbené webové stránky a služby, jako je Facebook, Twitter, Google a různé nástroje pro rychlé zasílání zpráv. Aby zdokonalil svou taktiku sociálního inženýrství, vytvoří hrozba Packrat také falešné webové stránky, jejichž jediným účelem je dezinformace, která přispívá k jejich propracovaným záporům.

Časová osa událostí

2008-2013

Nástroje a infrastruktura velení a řízení, které skupina Packrat používá, naznačují, že aktivně fungovaly již v roce 2008. Během prvních pěti let fungování skupiny používali aktéři hrozeb hostingové služby umístěné v Brazílii, přičemž některé vzorky jejich malwaru byly nahráno do online antivirových služeb z brazilských IP. Mnoho ukázkových zpráv, které skupina Packrat používala k návnadám obětí v té době, bylo naplněno obsahem brazilského sociálního inženýrství, což naznačuje, že hackeři se zaměřovali výhradně na největší jihoamerickou zemi.

2014-2015

Po relativně jednotvárném období Packrat vstoupil do hlubokých vod, když se zaměřil na známého argentinského novináře a moderátora televizních zpráv Jorgeho Lanatu a Alberta Nismana , vysoce postaveného argentinského právníka a federálního žalobce. Nisman měl údajně usvědčující důkazy proti vysokým představitelům argentinské vlády, včetně tehdejší argentinské prezidentky Cristiny Elisabet Fernández de Kirchner .

Objev malwaru používaného skupinou Packrat byl učiněn, když byl Nisman nalezen mrtvý po střelném zranění ve svém bytě v Buenos Aires dne 18. ledna 2015. Forenzní laboratoř v metropolitní policii v Buenos Aires prozkoumala Nismanův telefon Android a našla škodlivý soubor s názvem '' estrictamente secreto y confidencial.pdf.jar '', což v angličtině znamená '' přísně tajné a důvěrné ''.

Identický soubor byl později nahrán do online virové databáze z Argentiny, což odhalilo, že jde o AlienSpy, sadu nástrojů pro vzdálený přístup malware-as-a-service, která umožňuje aktérům hrozeb zaznamenávat aktivity jejich obětí, přistupovat k jejich webové kameře, e-mailu a více. Soubor byl vytvořen pro Windows, což znamená, že útočníci mohli být neúspěšní ve svých pokusech hacknout Nismana, který jej otevřel na svém telefonu Android.

Poté, co byl nález malwaru zveřejněn, se ozvali další s tím, že i oni byli cílem. Máximo Kirchner, syn tehdejší současné prezidentky Argentiny Cristiny Elisabet Fernández de Kirchner a bývalého argentinského prezidenta Néstora Kirchnera , tvrdil, že byl zaměřen na stejný malware, a poskytl snímky e-mailu, který obdržel od někoho, kdo se vydával za argentinského soudce Claudia Bonadia s adresou. claudiobonadio88@gmail.com .

E-mail obdržel Máximo Kirchner. Zdroj: ambito.com

Prvotní analýza provedená Morganem Marquisem-Boirem z Citizen Lab odhalila, že malware použitý proti Kircherovi, Lanatovi a Nismanovi byl spojen s příkazovým a řídicím (C2) serverem s názvem deyrep24.ddns.net. Při další kontrole bylo zjištěno, že stejnou doménu deyrep24.ddns.net C2 používají tři další vzorky malwaru. Jedním ze vzorků byl škodlivý dokument s názvem '' 3 MAR PROYECTO GRIPEN.docx.jar '' a údajně obsahoval komunikaci mezi ekvádorským velvyslancem ve Švédsku a ekvádorským prezidentem Rafaelem Correou ve věci pořízení stíhačky.

Výzkumníci z Citizen Lab provedli další výzkum poté, co v roce 2015 obdrželi četné zprávy o phishingových útocích proti novinářům a veřejným činitelům v Ekvádoru. Mnoho škodlivých e-mailů a SMS, které zkoumali, nebyly politicky zaměřené, ale byly pouze sběračem pověření pro různé poskytovatele e-mailů a sociálních sítí. média. Další výzkum odhalil, že kampaň v Ekvádoru zahrnovala výslovně politický obsah týkající se široké škály politických problémů a osobností v zemi, jakož i vytváření mnoha falešných profilů a organizací.

Výzkumníci odhalili rozsáhlou síť propojení mezi malwarem a phishingovými stránkami, využívanými v rozsáhlé ekvádorské kampani. Malware, který distribuovali, byl většinou Java RAT, jako AlienSpy a Adzok. Mnoho webových stránek sdílelo registrační informace, zatímco vzorky malwaru obvykle komunikovaly s daynews.sytes.net, doménou, která je také spojena s argentinskými případy. Vyšetřování také odhalilo falešné stránky ve Venezuele a infrastrukturu v Brazílii.

Infrastruktura C2 společnosti Packrat. Zdroj: citizenlab.ca

Hackerská skupina Packrat má dobře vyvinutou infrastrukturu, která zůstala několik let relativně bezpečná. Rozsáhlé, nákladné a dobře propracované kampaně prováděné hackerskou skupinou Packrat ukazují na státem sponzorovaného aktéra, který je dobře financovaný a udržovaný.

Packrat snímků obrazovky