Harvester APT

Λεπτομέρειες σχετικά με μια προηγουμένως άγνωστη ομάδα APT (Advanced Persistent Threat) αποκαλύφθηκαν σε μια νέα έκθεση από ερευνητές απειλών. Η ομάδα χάκερ παρακολουθείται ως Harvester και οι εντοπισμένες απειλητικές επιχειρήσεις της συνίστανται σε κατασκοπευτικές επιθέσεις εναντίον στόχων στη Νότια Ασία, κυρίως στο Αφγανιστάν. Οι στοχευόμενες εταιρείες προέρχονται από πολλούς διαφορετικούς κλάδους της βιομηχανίας, συμπεριλαμβανομένων της κυβέρνησης, των τηλεπικοινωνιών και της πληροφορικής. Η εστίαση ειδικότερα στο Αφγανιστάν είναι ενδιαφέρουσα, λαμβάνοντας υπόψη τα πρόσφατα σημαντικά γεγονότα που συνέβησαν εκεί, όπως η απόφαση των ΗΠΑ να αποσύρουν τον στρατό τους μετά από δύο δεκαετίες παρουσίας στη χώρα.

Αν και αυτή τη στιγμή δεν υπάρχουν αρκετά δεδομένα για να προσδιοριστεί το ακριβές έθνος-κράτος που υποστηρίζει τις δραστηριότητες του Harvester, ορισμένα στοιχεία όπως οι επιθέσεις της ομάδας δεν έχουν οικονομικά κίνητρα και η χρήση αρκετών εξατομικευμένων απειλητικών εργαλείων δείχνουν ότι είναι κράτος -επιχορηγούμενη στολή για το έγκλημα στον κυβερνοχώρο σίγουρα.

Απειλητική η Άρσεναλ

Το Harvester APT χρησιμοποιεί έναν συνδυασμό προσαρμοσμένου κακόβουλου λογισμικού και δημοσίως διαθέσιμων εργαλείων για να δημιουργήσει μια κερκόπορτα στα παραβιασμένα μηχανήματα και στη συνέχεια να συλλέξει πληροφορίες από αυτά. Ο αρχικός φορέας επίθεσης μέσω του οποίου οι επιτιθέμενοι εδραιώνουν μια βάση εντός του στοχευόμενου οργανισμού παραμένει άγνωστος. Ωστόσο, οι δραστηριότητες των χάκερ μετά από αυτό ήταν αρκετά σαφείς.

Πρώτον, αναπτύσσουν ένα προσαρμοσμένο πρόγραμμα λήψης στο σύστημα που έχει παραβιαστεί. Στη συνέχεια, το κακόβουλο λογισμικό παραδίδει το ωφέλιμο φορτίο επόμενου σταδίου - μια προσαρμοσμένη απειλή backdoor που ονομάζεται Backdoor.Graphon . Πρόσθετα ωφέλιμα φορτία έχουν επίσης ανακαλυφθεί ως μέρος των επιθέσεων του Harvester. Αυτά περιλαμβάνουν ένα προσαρμοσμένο εργαλείο λήψης στιγμιότυπων οθόνης, το εργαλείο Cobalt Strike Beacon, το οποίο χρησιμοποιείται συνήθως από εγκληματίες του κυβερνοχώρου, και το Metasploit, ένα αρθρωτό πλαίσιο που μπορεί να χρησιμοποιηθεί για πολλούς παρεμβατικούς σκοπούς.

Λεπτομέρειες επίθεσης

Μέσω του συνδυασμού των αναπτυσσόμενων απειλών, το Harvester μπορεί να εκτελέσει διάφορες επιβλαβείς ενέργειες. Μπορεί να τραβήξει φωτογραφίες της οθόνης του συστήματος που στη συνέχεια αποθηκεύονται σε ένα αρχείο ZIP που προστατεύεται με κωδικό πρόσβασης. Στη συνέχεια, το αρχείο εξάγεται στην υποδομή Command-and-Control (C2, C&C) της επιχείρησης. Μέσω του Cobalt Strike Beacon, οι εγκληματίες του κυβερνοχώρου μπορούν να εκτελούν αυθαίρετες εντολές, να χειρίζονται το σύστημα αρχείων, να συλλέγουν αρχεία, να ξεκινούν ή να τερματίζουν διαδικασίες και πολλά άλλα.

Από την άλλη πλευρά, το Metasploit τους επιτρέπει να επιτύχουν κλιμάκωση προνομίων, να ρυθμίσουν έναν μηχανισμό επιμονής για την κερκόπορτα τους, τη λήψη οθόνης κ.λπ. κανονική κίνηση δικτύου του παραβιασμένου οργανισμού αξιοποιώντας τη νόμιμη υποδομή CloudFront και Microsoft.