Packrat

Packrat-hakkerointiryhmä on Advanced Persistent Threat (APT), joka on toteuttanut useita kauaskantoisia operaatioita keskittyen Etelä-Amerikkaan – Argentiinaan, Brasiliaan ja Ecuadoriin. Packrat-ryhmän aktiivisuus saavutti huippunsa jo vuonna 2015. Packrat-uhkatoimija harjoittaa tiedustelukampanjoiden ohella phishing- ja tietovarkauksia. Kyberturvallisuustutkijat ovat valinneet tämän nimen tälle hakkerointiryhmälle, koska heidän suosikkityökalunsa ovat RATs (Remote Access Trojans). Suurin osa Packrat-ryhmän käyttämistä RAT-ohjelmista näyttää olevan sitä, mitä usein kutsutaan haittaohjelmiksi hyödykkeeksi. Tämä tarkoittaa, että Packrat-ryhmän käyttämät hakkerointityökalut ostetaan tai vuokrataan pääosin. Packrat-näyttelijä näyttää erikoistuneen sosiaaliseen suunnitteluun pikemminkin kuin haittaohjelmien rakentamiseen tyhjästä.

Packrat-hakkerointiryhmä on todennäköisesti erittäin kokenut tietoverkkorikollisuuden alalla. Heidän kampanjansa ovat monimutkaisia ja hyvin toteutettuja. Tämän uhkatoimijan tiedetään luovan väärennettyjä identiteettejä ja kokonaisia petollisia yrityksiä ja organisaatioita tehdäkseen sosiaalisen suunnittelun temppuistaan mahdollisimman hienoja. Jotkut haittaohjelmaasiantuntijat uskovat, että Packrat-ryhmä saattaa olla valtion tukema. Tämä johtuu siitä, että Packrat-uhkatoimijan kohteina ovat usein korkea-arvoiset poliitikot, tutkivat toimittajat, mediajärjestöt ja muut suuret kiinnostuksen kohteet. Lisäksi näyttää siltä, että Packrat-hakkerointiryhmän toteuttamat kampanjat ovat melko kalliita ylläpitää - todennäköisesti satoja tuhansia dollareita.

Packrat-ryhmä levittäisi uhkiaan tietojenkalasteluoperaatioiden kautta. Näissä kampanjoissa olisi mukana aiemmin mainitut väärennetyt organisaatiot ja hyökkääjien perustamat identiteetit. Jotkut Packrat-ryhmän kohteista olisivat myös tekstiviestien välityksellä tapahtuvaa tietojenkalastelua. Niistä yleisimmin käytetty uhkaukset Packrat uhkaavat näyttelijä on ulkomaalainen Spy , Adzok, Cybergate ja Xtreme RAT . Packrat-hakkerointiryhmän tietojenkalastelukampanjat kohdistuisivat suosittujen verkkosivustojen ja palvelujen, kuten Facebookin, Twitterin, Googlen ja erilaisten pikaviestintäohjelmien, kirjautumistietoihin. Täydentääkseen sosiaalisen suunnittelun taktiikkaansa Packrat-uhkatoimijat luovat myös vääriä Web-sivuja, joiden ainoa tarkoitus on disinformaatiota, joka syöttää niiden monimutkaisiin haittoihin.

Tapahtumien aikajana

2008-2013

Packrat-ryhmän käyttämät työkalut ja komento- ja ohjausinfrastruktuuri viittaavat siihen, että he toimivat aktiivisesti jo vuonna 2008. Ryhmän viiden ensimmäisen toimintavuoden aikana uhkatoimijat käyttivät Brasiliassa sijaitsevia isännöintipalveluita, joiden haittaohjelmanäytteistä osa oli ladattu online-virustorjuntapalveluihin brasilialaisista IP-osoitteesta. Monet näyteviesteistä, joita Packrat-ryhmä käytti uhrien syöttämiseen tuona aikana, olivat täynnä brasilialaista manipulointisisältöä, mikä viittaa siihen, että hakkerit olivat kohdistaneet kohteena yksinomaan suurinta Etelä-Amerikan maata.

2014-2015

Suhteellisen tapahtumattoman jakson jälkeen Packrat astui syviin vesiin, kun se kohdistui tunnettuun argentiinalaiseen toimittajaan ja TV-uutisten juontajaan Jorge Lanataan ja Alberto Nismaniin , korkean profiilin argentiinalaiseen lakimieheen ja liittovaltion syyttäjään. Nismanilla oletettiin olevan syyllisiä todisteita Argentiinan hallituksen korkeita virkamiehiä vastaan, mukaan lukien Argentiinan silloinen nykyinen presidentti Cristina Elisabet Fernández de Kirchner .

Packrat-ryhmän käyttämä haittaohjelma löydettiin, kun Nisman löydettiin kuolleena ampumahaavasta hänen Buenos Airesin asunnossaan 18. tammikuuta 2015. Buenos Airesin poliisin rikostekninen laboratorio tutki Nismanin Android-puhelimen ja löysi haitallisen tiedoston. nimeltä '' estrictamente secreto y confidencial.pdf.jar '', joka tarkoittaa englanniksi ' tiukasti salainen ja luottamuksellinen '.

Myöhemmin identtinen tiedosto ladattiin online-virustietokantaan Argentiinasta, mikä paljasti sen olevan AlienSpy, haittaohjelmien etäkäyttötyökalusarja, joka antaa uhkatekijöille mahdollisuuden tallentaa uhrinsa toimintaa, käyttää verkkokameraansa, sähköpostia ja lisää. Tiedosto on rakennettu Windowsille, mikä tarkoittaa, että hyökkääjät eivät ehkä onnistuneet yrittäessään hakkeroida Nismania, joka avasi sen Android-puhelimellaan.

Haittaohjelmalöydön julkistamisen jälkeen muut ilmaantuivat sanoen, että hekin olivat joutuneet kohteena. Argentiinan silloisen nykyisen presidentin Cristina Elisabet Fernández de Kirchnerin ja entisen Argentiinan presidentin Néstor Kirchnerin poika Máximo Kirchner väitti, että hän oli saman haittaohjelman kohteena ja toimitti kuvakaappauksia sähköpostista, jonka hän sai Argentiinan tuomaria Claudio Bonadiona esiintyneen osoitteen sisältävästä sähköpostista. claudiobonadio88@gmail.com .

Máximo Kirchner on vastaanottanut sähköpostin. Lähde: ambito.com

Citizen Labin Morgan Marquis-Boiren alustava analyysi paljasti, että Kircheriä, Lanataa ja Nismania vastaan käytetty haittaohjelma oli linkitetty komento- ja ohjauspalvelimeen (C2) nimeltä deyrep24.ddns.net. Samaa deyrep24.ddns.net C2-verkkotunnusta todettiin lisätarkastuksessa käyttäneen kolmessa muussa haittaohjelmanäytteessä. Yksi näytteistä oli haitallinen asiakirja nimeltä '' 3 MAR PROYECTO GRIPEN.docx.jar '', ja sen oletettiin sisältävän viestintää Ecuadorin Ruotsin-suurlähettilään ja Ecuadorin presidentin Rafael Correan välillä hävittäjien hankinnasta.

Citizen Labin tutkijat jatkoivat tutkimusta saatuaan lukuisia raportteja tietojenkalasteluhyökkäyksistä toimittajiin ja julkisuuden henkilöihin Ecuadorissa vuonna 2015. Monet heidän tutkimistaan haitallisista sähköpostiviesteistä ja tekstiviesteistä eivät olleet poliittisia, vaan ne olivat vain valtuustietojen kerääjiä eri sähköpostintarjoajille ja yhteisöille. media. Lisätutkimukset paljastivat, että Ecuadorin kampanjaan sisältyi nimenomaan poliittista sisältöä, joka koski monenlaisia poliittisia kysymyksiä ja hahmoja maassa, sekä monien väärennettyjen profiilien ja organisaatioiden luomista.

Tutkijat paljastivat laajassa ecuadorilaisen kampanjassa käytetyn haittaohjelmien ja tietojenkalastelusivustojen välisen laajan yhteyksien verkon. Niiden levittämät haittaohjelmat olivat enimmäkseen Java RAT -ohjelmia, kuten AlienSpy ja Adzok. Monet sivustot jakoivat rekisteröintitietoja, kun taas haittaohjelmanäytteet olivat tyypillisesti yhteydessä daynews.sytes.net-verkkotunnukseen, joka on myös linkitetty Argentiinan tapauksiin. Tutkimus paljasti myös väärennettyjä sivustoja Venezuelassa ja infrastruktuuria Brasiliassa.

Packratin C2-infrastruktuuri. Lähde: citizenlab.ca

Packrat-hakkerointiryhmällä on hyvin kehittynyt infrastruktuuri, joka on säilynyt suhteellisen turvallisena useiden vuosien ajan. Packrat-hakkerointiryhmän toteuttamat laajat, kalliit ja hyvin viimeistellyt kampanjat viittaavat valtion tukemaan toimijaan, joka on hyvin rahoitettu ja ylläpidetty.

Packrat kuvakaappausta