Κακόβουλο λογισμικό PingPull

Η ομάδα Gallim APT (Advanced Persistent Threat) διεξάγει μια εκστρατεία επίθεσης με στόχο χρηματοπιστωτικά ιδρύματα και κυβερνητικές οντότητες σε πολλές ηπείρους. Πιο συγκεκριμένα, αυτή η τελευταία επιχείρηση της πιθανής ομάδας χάκερ που χρηματοδοτείται από την Κίνα έχει αξιοποιηθεί εναντίον στόχων στη Ρωσία, το Βέλγιο, το Βιετνάμ, την Καμπότζη, την Αυστραλία, τις Φιλιππίνες, τη Μαλαισία και το Αφγανιστάν. Επιπλέον, σύμφωνα με τους ερευνητές κυβερνοασφάλειας στο Palo Alto Network's Unit42, ο παράγοντας απειλής έχει αναπτύξει ένα νέο ιδιαίτερα κρυφό RAT (Remote Access Trojan) που παρακολουθείται ως "PingPull".

Η απειλή PingPull έχει σχεδιαστεί για να διεισδύσει στις στοχευμένες συσκευές και στη συνέχεια να δημιουργήσει ένα αντίστροφο κέλυφος σε αυτές. Στη συνέχεια, οι εισβολείς θα έχουν τη δυνατότητα να εκτελούν εξ αποστάσεως αυθαίρετες εντολές. Η αναφορά της Unit42 αποκαλύπτει ότι έχουν εντοπιστεί τρεις ξεχωριστές παραλλαγές του PingPull. Η κύρια διαφορά μεταξύ τους είναι το χρησιμοποιούμενο πρωτόκολλο επικοινωνίας - ICMP, HTTPS ή TCP. Είναι πιθανό οι χάκερ του Gallium να επιλέξουν την παραλλαγή που θα τους παρέχει τις καλύτερες πιθανότητες να αποφύγουν συγκεκριμένες μεθόδους ανίχνευσης δικτύου ή εργαλεία ασφαλείας που βασίζονται σε προηγούμενες πληροφορίες σχετικά με τον στόχο.

Και οι τρεις παραλλαγές υπάρχουν στα διεισδυμένα μηχανήματα ως υπηρεσία που έχει περιγραφή που μιμείται την περιγραφή μιας νόμιμης υπηρεσίας. Οι εντολές που αναγνωρίζονται από τις παραλλαγές είναι επίσης ίδιες. Κυμαίνονται από τον χειρισμό του συστήματος αρχείων, την εκτέλεση εντολών μέσω cmd.exe, την απαρίθμηση των τόμων αποθήκευσης, τη δυνατότητα διακοπής χρόνου αρχείων και την αποστολή δεδομένων στον διακομιστή Command-and-Control (C2, C&C) της λειτουργίας. Η εισερχόμενη κίνηση από το C2 κρυπτογραφείται με τον κρυπτογραφικό αλγόριθμο AES. Για την αποκρυπτογράφηση των εντολών και των παραμέτρων τους, το beacon έχει ένα ζευγάρι πλήκτρων με σκληρό κώδικα.