PingPull-haittaohjelma

Gallim APT (Advanced Persistent Threat) -ryhmä on ajanut hyökkäyskampanjaa, joka on kohdistettu rahoituslaitoksiin ja valtion yksiköihin useilla mantereilla. Tarkemmin sanottuna tämä todennäköisen Kiinan sponsoroiman hakkeriryhmän viimeisin operaatio on hyödynnetty Venäjällä, Belgiassa, Vietnamissa, Kambodžassa, Australiassa, Filippiineillä, Malesiassa ja Afganistanissa olevia kohteita vastaan. Lisäksi Palo Alto Networkin Unit42:n kyberturvallisuustutkijoiden mukaan uhkatekijä on ottanut käyttöön uuden erityisen salakavalan RAT:n (Remote Access Trojan), jota seurataan nimellä "PingPull".

PingPull-uhka on suunniteltu tunkeutumaan kohteena oleviin laitteisiin ja luomaan niihin sitten käänteinen kuori. Myöhemmin hyökkääjät voivat suorittaa mielivaltaisia komentoja etänä. Unit42:n raportti paljastaa, että PingPullista on tunnistettu kolme erillistä muunnelmaa. Suurin ero niiden välillä on käytetty viestintäprotokolla - ICMP, HTTPS tai TCP. On todennäköistä, että Gallium-hakkerit valitsevat muunnelman, joka antaa heille parhaat mahdollisuudet välttää tietyt verkon havaitsemismenetelmät tai suojaustyökalut, jotka perustuvat aiemmin hankittuihin tietoihin kohteesta.

Kaikki kolme versiota ovat tunkeutuneissa koneissa palveluina, joiden kuvaus jäljittelee laillisen palvelun kuvausta. Myös muunnelmien tunnistamat komennot ovat samat. Ne vaihtelevat tiedostojärjestelmän manipuloinnista, komentojen suorittamisesta cmd.exe:n kautta, tallennustilavuuksien laskemisesta, tiedostojen aikapysäytyskyvystä ja tietojen lähettämisestä toiminnon Command-and-Control (C2, C&C) -palvelimelle. C2:sta tuleva liikenne salataan AES-salausalgoritmilla. Komentojen ja niiden parametrien salauksen purkamiseksi majakassa on pari kovakoodattua avainta.