Packrat

Η ομάδα hacking Packrat είναι μια προηγμένη επίμονη απειλή (APT) που έχει πραγματοποιήσει πολλές εκτεταμένες επιχειρήσεις επικεντρωμένες στη Νότια Αμερική – Αργεντινή, Βραζιλία και Εκουαδόρ. Η δραστηριότητα του ομίλου Packrat έφτασε στο αποκορύφωμά της το 2015. Ο παράγοντας απειλών Packrat τείνει να πραγματοποιεί επιχειρήσεις ηλεκτρονικού ψαρέματος (phishing) και κλοπής δεδομένων, παράλληλα με εκστρατείες αναγνώρισης. Οι ερευνητές κυβερνοασφάλειας έχουν επιλέξει αυτό το όνομα για αυτήν την ομάδα hacking καθώς το προτιμώμενο εργαλείο τους είναι οι RATs (Remote Access Trojans). Οι περισσότεροι από τους RAT που χρησιμοποιούνται από την ομάδα Packrat φαίνεται να είναι αυτό που συχνά αναφέρεται ως κακόβουλο λογισμικό ως εμπόρευμα. Αυτό σημαίνει ότι τα εργαλεία hacking που χρησιμοποιεί η ομάδα Packrat αγοράζονται ή νοικιάζονται κυρίως. Ο ηθοποιός του Packrat φαίνεται να ειδικεύεται στην κοινωνική μηχανική αντί να δημιουργεί κακόβουλο λογισμικό από την αρχή.

Η ομάδα hacking Packrat είναι πιθανό να είναι πολύ έμπειρη στον τομέα του εγκλήματος στον κυβερνοχώρο. Οι καμπάνιες τους είναι πολύπλοκες και καλά εκτελεσμένες. Αυτός ο παράγοντας απειλών είναι γνωστό ότι δημιουργεί πλαστές ταυτότητες και ολόκληρες δόλιες εταιρείες και οργανισμούς για να κάνουν τα κόλπα κοινωνικής μηχανικής τους όσο το δυνατόν πιο εκλεπτυσμένα. Ορισμένοι ειδικοί σε κακόβουλο λογισμικό πιστεύουν ότι η ομάδα Packrat μπορεί να χρηματοδοτείται από την κυβέρνηση. Αυτό οφείλεται στο γεγονός ότι οι στόχοι του παράγοντα απειλών Packrat είναι συχνά υψηλόβαθμοι πολιτικοί, ερευνητές δημοσιογράφοι, οργανισμοί μέσων ενημέρωσης και άλλες μεγάλες εταιρείες ενδιαφέροντος. Επιπλέον, φαίνεται ότι οι εκστρατείες που πραγματοποιούνται από τον όμιλο χάκερ Packrat είναι μάλλον δαπανηρές στη συντήρηση – πιθανότατα σε εκατοντάδες χιλιάδες δολάρια.

Η ομάδα Packrat θα διαδώσει τις απειλές της μέσω επιχειρήσεων phishing. Αυτές οι εκστρατείες θα περιλάμβαναν τις προαναφερθείσες ψεύτικες οργανώσεις και ταυτότητες που δημιουργήθηκαν από τους επιτιθέμενους. Μερικοί από τους στόχους της ομάδας Packrat θα ήταν και το phishing μέσω μηνυμάτων κειμένου. Μεταξύ των πιο συχνά χρησιμοποιούμενων απειλών από τον απειλητικό ηθοποιό του Packrat είναι οι Alien Spy , Adzok, Cybergate και ο Xtreme RAT . Οι καμπάνιες phishing της ομάδας χάκερ Packrat θα στοχεύουν διαπιστευτήρια σύνδεσης για δημοφιλείς ιστότοπους και υπηρεσίες όπως το Facebook, το Twitter, το Google και διάφορα βοηθητικά προγράμματα άμεσων μηνυμάτων. Για να τελειοποιήσουν τις τακτικές κοινωνικής μηχανικής τους, ο παράγοντας των απειλών Packrat θα δημιουργήσει επίσης ψεύτικες ιστοσελίδες με μοναδικό σκοπό την παραπληροφόρηση που τροφοδοτεί τα περίτεχνα μειονεκτήματά τους.

Χρονοδιάγραμμα Εκδηλώσεων

2008-2013

Τα εργαλεία και η υποδομή διοίκησης και ελέγχου που χρησιμοποιεί η ομάδα Packrat υποδηλώνουν ότι λειτουργούσαν ενεργά ήδη από το 2008. Κατά τη διάρκεια των πρώτων πέντε ετών λειτουργίας της ομάδας, οι φορείς απειλών χρησιμοποιούσαν υπηρεσίες φιλοξενίας που βρίσκονται στη Βραζιλία, με ορισμένα από τα δείγματα κακόβουλου λογισμικού τους να είναι μεταφορτώθηκε σε διαδικτυακές υπηρεσίες σάρωσης ιών από IP της Βραζιλίας. Πολλά από τα δείγματα μηνυμάτων που χρησιμοποίησε η ομάδα Packrat για να δολώσει θύματα εκείνη την περίοδο ήταν γεμάτα με περιεχόμενο βραζιλιάνικης κοινωνικής μηχανικής, υποδηλώνοντας ότι οι χάκερ είχαν στοχεύσει αποκλειστικά τη μεγαλύτερη χώρα της Νότιας Αμερικής.

2014-2015

Μετά από μια σχετικά αδιάφορη περίοδο, το Packrat μπήκε σε βαθιά νερά όταν στόχευσε τον γνωστό Αργεντινό δημοσιογράφο και παρουσιαστή ειδήσεων της τηλεόρασης Jorge Lanata και τον Alberto Nisman , έναν υψηλού προφίλ Αργεντινό δικηγόρο και ομοσπονδιακό εισαγγελέα. Ο Νισμάν υποτίθεται ότι είχε ενοχοποιητικά στοιχεία εναντίον υψηλόβαθμων αξιωματούχων της κυβέρνησης της Αργεντινής, συμπεριλαμβανομένης της τότε προέδρου της Αργεντινής Cristina Elisabet Fernández de Kirchner .

Η ανακάλυψη του κακόβουλου λογισμικού που χρησιμοποιούσε η ομάδα Packrat έγινε όταν ο Nisman βρέθηκε νεκρός από πυροβολισμό στο διαμέρισμά του στο Μπουένος Άιρες στις 18 Ιανουαρίου 2015. Το εγκληματολογικό εργαστήριο στη Μητροπολιτική Αστυνομία του Μπουένος Άιρες εξέτασε το τηλέφωνο Android του Nisman και βρήκε ένα κακόβουλο αρχείο ονομάζεται '' estritamente secreto y confidencial.pdf.jar '', που μεταφράζεται σε '' αυστηρά μυστικό και εμπιστευτικό '' στα αγγλικά.

Ένα πανομοιότυπο αρχείο μεταφορτώθηκε αργότερα σε μια διαδικτυακή βάση δεδομένων ιών από την Αργεντινή, αποκαλύπτοντας ότι είναι το AlienSpy, μια εργαλειοθήκη απομακρυσμένης πρόσβασης για κακόβουλο λογισμικό ως υπηρεσία που δίνει στους φορείς απειλής τη δυνατότητα να καταγράφουν τις δραστηριότητες του θύματός τους, να έχουν πρόσβαση στην κάμερα web, το email και περισσότερο. Το αρχείο δημιουργήθηκε για Windows, πράγμα που σημαίνει ότι οι επιτιθέμενοι μπορεί να ήταν ανεπιτυχείς στις προσπάθειές τους να χακάρουν τον Nisman, ο οποίος το άνοιξε στο τηλέφωνό του Android.

Μετά τη δημοσιοποίηση της εύρεσης κακόβουλου λογισμικού, εμφανίστηκαν και άλλοι, λέγοντας ότι είχαν στοχοποιηθεί και αυτοί. Ο Máximo Kirchner, ο γιος της τότε προέδρου της Αργεντινής Cristina Elisabet Fernández de Kirchner και του πρώην προέδρου της Αργεντινής Néstor Kirchner , ισχυρίστηκε ότι στοχοποιήθηκε από το ίδιο κακόβουλο λογισμικό, παρέχοντας στιγμιότυπα οθόνης ενός email που έλαβε από κάποιον που υποδύθηκε τον Αργεντινό δικαστή Claudio Bonadio με μια διεύθυνση claudiobonadio88@gmail.com .

Email που ελήφθη από τον Máximo Kirchner. Πηγή: ambito.com

Μια αρχική ανάλυση από τον Morgan Marquis-Boire του Citizen Lab αποκάλυψε ότι το κακόβουλο λογισμικό που χρησιμοποιήθηκε κατά των Kircher, Lanata και Nisman συνδέθηκε με έναν διακομιστή εντολών και ελέγχου (C2) με το όνομα deyrep24.ddns.net. Ο ίδιος τομέας deyrep24.ddns.net C2 βρέθηκε ότι χρησιμοποιείται από τρία άλλα δείγματα κακόβουλου λογισμικού μετά από περαιτέρω έλεγχο. Ένα από τα δείγματα ήταν ένα κακόβουλο έγγραφο με το όνομα '' 3 MAR PROYECTO GRIPEN.docx.jar '' και υποτίθεται ότι περιείχε επικοινωνία μεταξύ του Πρέσβη του Ισημερινού στη Σουηδία και του Προέδρου του Ισημερινού Rafael Correa σχετικά με το θέμα της απόκτησης μαχητικού αεροσκάφους.

Ερευνητές από το Citizen Lab έκαναν περαιτέρω έρευνα αφού έλαβαν πολυάριθμες αναφορές για επιθέσεις phishing εναντίον δημοσιογράφων και δημοσίων προσώπων στον Ισημερινό το 2015. Πολλά από τα κακόβουλα email και SMS που εξέτασαν δεν είχαν πολιτικά θέματα, αλλά ήταν απλώς συγκομιδές διαπιστευτηρίων για διαφορετικούς παρόχους email και κοινωνικά μεσο ΜΑΖΙΚΗΣ ΕΝΗΜΕΡΩΣΗΣ. Περαιτέρω έρευνα αποκάλυψε ότι η εκστρατεία στον Εκουαδόρ περιελάμβανε ρητά πολιτικό περιεχόμενο, που αφορούσε μια μεγάλη ποικιλία πολιτικών ζητημάτων και προσωπικοτήτων στη χώρα, καθώς και τη δημιουργία πολλών πλαστών προφίλ και οργανώσεων.

Οι ερευνητές αποκάλυψαν έναν τεράστιο ιστό διασύνδεσης μεταξύ κακόβουλου λογισμικού και τοποθεσιών ηλεκτρονικού ψαρέματος, που χρησιμοποιήθηκε στην εκτεταμένη εκστρατεία του Ισημερινού. Το κακόβουλο λογισμικό που διένειμε ήταν κυρίως Java RAT, όπως το AlienSpy και το Adzok. Πολλοί από τους ιστότοπους μοιράζονταν πληροφορίες εγγραφής, ενώ τα δείγματα κακόβουλου λογισμικού συνήθως επικοινωνούσαν με το daynews.sytes.net, έναν τομέα που συνδέεται επίσης με τις υποθέσεις της Αργεντινής. Η έρευνα αποκάλυψε επίσης ψεύτικες τοποθεσίες στη Βενεζουέλα και υποδομές στη Βραζιλία.

Υποδομή C2 της Packrat. Πηγή: civillab.ca

Ο όμιλος hacking Packrat έχει μια καλά ανεπτυγμένη υποδομή που παραμένει σχετικά ασφαλής εδώ και αρκετά χρόνια. Οι μεγάλης κλίμακας, δαπανηρές και καλοκαθαρισμένες εκστρατείες που πραγματοποιούνται από την ομάδα χάκερ Packrat δείχνουν έναν ηθοποιό που χρηματοδοτείται από το κράτος, ο οποίος χρηματοδοτείται και συντηρείται καλά.

Packrat Στιγμιότυπα οθόνης