Packrat

Packrati häkkimisrühm on Advanced Persistent Threat (APT), mis on viinud läbi mitmeid kaugeleulatuvaid operatsioone, mis on koondunud Lõuna-Ameerikasse – Argentinasse, Brasiiliasse ja Ecuadori. Packrati grupi tegevus saavutas haripunkti 2015. aastal. Packrati ohus osaleja kipub luurekampaaniate kõrval läbi viima andmepüügi ja andmevarguse operatsioone. Küberturbeteadlased on valinud selle häkkimisrühma jaoks selle nime, kuna nende eelistatud tööriist on RAT-id (Remote Access Trojans). Enamik Packrati rühma kasutatavatest RAT-idest näib olevat see, mida sageli nimetatakse pahavaraks kui kaubaks. See tähendab, et Packrati grupi poolt kasutatavaid häkkimistööriistu ostetakse või renditakse enamasti. Näib, et Packrati näitleja on spetsialiseerunud pigem sotsiaalsele manipuleerimisele kui pahavara nullist ehitamisele.

Packrati häkkimisrühm on tõenäoliselt küberkuritegevuse vallas väga kogenud. Nende kampaaniad on keerulised ja hästi läbi viidud. Teadaolevalt loob see ohustaja võltsitud identiteete ja terveid petturlikke ettevõtteid ja organisatsioone, et muuta oma sotsiaalse inseneri trikid võimalikult lihviks. Mõned pahavaraeksperdid usuvad, et Packrati grupp võib olla valitsuse toetatud. See on tingitud asjaolust, et Packrati ohutegija sihtmärkideks on sageli kõrged poliitikud, uurivad ajakirjanikud, meediaorganisatsioonid ja muud huvipakkuvad suurettevõtted. Lisaks näib, et häkkimisgrupi Packrat kampaaniate ülalpidamine on üsna kulukas – tõenäoliselt ulatub sadade tuhandete dollariteni.

Packrati rühmitus levitaks oma ähvardusi andmepüügioperatsioonide kaudu. Need kampaaniad hõlmaksid varem mainitud võltsorganisatsioone ja ründajate loodud identiteete. Mõned Packrati grupi sihtmärgid on andmepüügiks ka tekstisõnumite kaudu. Packrati ähvardava näitleja kõige sagedamini kasutatavad ähvardused on Alien Spy , Adzok, Cybergate ja Xtreme RAT . Packrati häkkimisrühma andmepüügikampaaniad sihiksid populaarsete veebisaitide ja teenuste, nagu Facebook, Twitter, Google ja mitmesugused kiirsõnumiutiliidid, sisselogimismandaate. Oma sotsiaalse inseneri taktika täiustamiseks loob Packrati ohus osaleja ka võltsi veebilehti, mille ainus eesmärk on desinformatsioon, mis toidab nende keerulisi puudusi.

Sündmuste ajaskaala

2008-2013

Packrati grupi kasutatavad tööriistad ning juhtimis- ja kontrolliinfrastruktuur viitab sellele, et nad tegutsesid aktiivselt juba 2008. aastal. Grupi esimese viie tegevusaasta jooksul kasutasid ohus osalejad Brasiilias asuvaid hostimisteenuseid, kusjuures osa nende pahavara näidistest olid Brasiilia IP-aadressidelt veebipõhisesse viirusekontrolliteenustesse üles laaditud. Paljud näidissõnumid, mida Packrati rühmitus sel perioodil ohvrite peibutamiseks kasutas, olid täidetud Brasiilia sotsiaalse manipuleerimisega, mis viitab sellele, et häkkerid olid võtnud sihikule ainult suurima Lõuna-Ameerika riigi.

2014-2015

Pärast suhteliselt sündmustevaest perioodi sisenes Packrat sügavatesse vetesse, kui ta võttis sihikule tuntud Argentina ajakirjaniku ja teleuudiste saatejuhi Jorge Lanata ning Alberto Nismani , kõrgetasemelise Argentina advokaadi ja föderaalprokuröri. Väidetavalt oli Nismanil süüstavaid tõendeid Argentina valitsuse kõrgete ametnike, sealhulgas Argentina tollase praeguse presidendi Cristina Elisabet Fernández de Kirchneri vastu .

Packrati grupi kasutatud pahavara avastati, kui Nisman leiti 18. jaanuaril 2015 oma Buenos Airese korterist kuulihaava tagajärjel surnuna. Buenos Airese pealinna politsei kohtuekspertiisi labor uuris Nismani Android-telefoni ja leidis pahatahtliku faili. nimega '' estrictamente secreto y confidencial.pdf.jar '', mis inglise keeles tähendab '' rangelt salajane ja konfidentsiaalne ''.

Hiljem laaditi identne fail üles Argentina veebipõhisesse viiruste andmebaasi, mis näitas, et see on AlienSpy, pahavara kui teenuse kaugjuurdepääsu tööriistakomplekt, mis annab ohus osalejatele võimaluse salvestada oma ohvri tegevust, pääseda juurde oma veebikaamerale, meilile ja rohkem. Fail loodi Windowsi jaoks, mis tähendab, et ründajate katsed häkkida Nismani, kes selle oma Android-telefonis avas, võisid ebaõnnestuda.

Pärast pahavara leiu avalikustamist astusid teised esile, öeldes, et ka neid on sihitud. Argentina tollase presidendi Cristina Elisabet Fernández de Kirchneri ja Argentina endise presidendi Néstor Kirchneri poeg Máximo Kirchner väitis, et tema sihtmärgiks oli sama pahavara, esitades ekraanipildid meilist, mille ta sai kelleltki, kes kehastas Argentina kohtunikku Claudio Bonadio't koos aadressiga. claudiobonadio88@gmail.com .

Máximo Kirchner sai meili. Allikas: ambito.com

Citizen Labi Morgan Marquis-Boire'i esialgne analüüs näitas, et Kircheri, Lanata ja Nismani vastu kasutatud pahavara oli seotud käsu- ja juhtimisserveriga (C2), mille nimi on deyrep24.ddns.net. Edasisel kontrollimisel leiti, et sama deyrep24.ddns.net C2 domeeni kasutas veel kolm pahavara näidist. Üks näidistest oli pahatahtlik dokument nimega '' 3 MAR PROYECTO GRIPEN.docx.jar '' ja väidetavalt sisaldas Ecuadori suursaadiku Rootsis ja Ecuadori presidendi Rafael Correa vahelist suhtlust hävitajate omandamise teemal.

Citizen Labi teadlased tegid täiendavaid uuringuid pärast seda, kui nad said 2015. aastal arvukalt teateid andmepüügirünnakute kohta ajakirjanike ja avaliku elu tegelaste vastu Ecuadoris. Paljud nende uuritud pahatahtlikud meilid ja SMS-id ei olnud poliitilised, vaid olid lihtsalt erinevate meiliteenuse pakkujate ja sotsiaalvõrgustike mandaatide kogujad. meedia. Edasised uuringud näitasid, et Ecuadori kampaania hõlmas selgesõnaliselt poliitilist sisu, mis puudutas mitmesuguseid poliitilisi küsimusi ja tegelasi riigis, samuti paljude võltsprofiilide ja -organisatsioonide loomist.

Teadlased avastasid ulatusliku Ecuadori kampaanias kasutatud pahavara ja andmepüügisaitide vastastikuse sidumise võrgu. Nende levitatud pahavara olid enamasti Java RAT-id, nagu AlienSpy ja Adzok. Paljud veebisaidid jagasid registreerimisteavet, samas kui pahavara näidised suhtlesid tavaliselt domeeniga daynews.sytes.net, mis on samuti seotud Argentina juhtumitega. Uurimine paljastas ka võltsitud saite Venezuelas ja infrastruktuuri Brasiilias.

Packrati C2 infrastruktuur. Allikas: citizenlab.ca

Packrati häkkimisgrupil on hästi arenenud infrastruktuur, mis on püsinud suhteliselt turvalisena juba mitu aastat. Packrati häkkimisgrupi läbiviidud suuremahulised, kulukad ja hästi viimistletud kampaaniad viitavad riigi toetatud tegijale, keda rahastatakse ja hoitakse hästi.

Packrat ekraanipilti