Packrat
קבוצת הפריצה של Packrat היא איום מתמשך מתקדם (APT) שביצעה מספר פעולות מרחיקות לכת מרוכזות בדרום אמריקה - ארגנטינה, ברזיל ואקוודור. פעילותה של קבוצת Packrat הגיעה לשיאה עוד בשנת 2015. שחקן האיומים של Packrat נוהג לבצע פעולות דיוג וגניבת נתונים, לצד קמפיינים של סיור. חוקרי אבטחת סייבר בחרו בשם זה עבור קבוצת הפריצה הזו מכיוון שהכלי המועדף עליהם הוא RATs (סוסי גישה מרחוק). נראה שרוב ה-RATs המשמשים על ידי קבוצת Packrat הם מה שמכונה לעתים קרובות תוכנה זדונית-כסחורה. המשמעות היא שכלי הפריצה בהם משתמשים קבוצת Packrat נרכשים או מושכרים לרוב. נראה ששחקן Packrat מתמחה בהנדסה חברתית במקום בבניית תוכנות זדוניות מאפס.
קבוצת הפריצה של Packrat עשויה להיות מנוסה מאוד בתחום פשעי הסייבר. הקמפיינים שלהם מורכבים ומבוצעים היטב. ידוע ששחקן האיום הזה יוצר זהויות מזויפות וחברות וארגונים הונאה שלמים כדי להפוך את הטריקים ההנדסיים החברתיים שלהם למלוטשים ככל האפשר. כמה מומחי תוכנות זדוניות מאמינים שקבוצת Packrat עשויה להיות בחסות ממשלתית. זה נובע מהעובדה שהמטרות של שחקן האיום של פקרט הם לרוב פוליטיקאים רמי דרג, עיתונאים חוקרים, ארגוני תקשורת וחברות גדולות אחרות בעלות עניין. יתרה מזאת, נראה כי הקמפיינים שבוצעו על ידי קבוצת הפריצה של Packrat יקרים למדי לתחזוקה - ככל הנראה במאות אלפי דולרים.
קבוצת Packrat תפיץ את האיומים שלהם באמצעות פעולות דיוג. מסעות פרסום אלה יכללו את הארגונים והזהויות המזויפות שהוזכרו קודם לכן שהוקמו על ידי התוקפים. חלק מהמטרות של קבוצת Packrat יהיו דיוג גם באמצעות הודעות טקסט. בין האיומים הנפוצים ביותר בשימוש על ידי השחקן המאיים של Packrat הם Alien Spy , Adzok, Cybergate ו- Xtreme RAT . קמפיינים הדיוגים של קבוצת הפריצה של Packrat יתמקדו באישורי התחברות לאתרים ושירותים פופולריים כמו פייסבוק, טוויטר, גוגל וכלי עזר שונים להודעות מיידיות. כדי לשכלל את טקטיקת ההנדסה החברתית שלהם, שחקן האיום של Packrat גם יצור דפי אינטרנט מזויפים שמטרתם היחידה היא דיסאינפורמציה שמזינה את החסרונות המשוכללים שלהם.
תוכן העניינים
ציר זמן של אירועים
2008-2013
הכלים ותשתית הפיקוד והבקרה שקבוצת Packrat משתמשת בהם מעידים שהם פעלו באופן פעיל כבר בשנת 2008. במהלך חמש השנים הראשונות לפעילותה של הקבוצה, השתמשו שחקני האיומים בשירותי אירוח הממוקמים בברזיל, כאשר חלק מדגימות התוכנות הזדוניות שלהם היו הועלה לשירותי סריקת וירוסים מקוונים מכתובות IP ברזילאיות. רבות מההודעות לדוגמה שבהן השתמשה קבוצת Packrat לפיתיון קורבנות בתקופה ההיא היו מלאים בתוכן הנדסה חברתית ברזילאית, מה שמצביע על כך שההאקרים פנו למדינה הגדולה ביותר בדרום אמריקה באופן בלעדי.
2014-2015
לאחר תקופה חסרת אירועים יחסית, פקרט נכנסה למים עמוקים כשכיוונה עיתונאי ארגנטינאי ידוע ומנחה חדשות הטלוויזיה חורחה לנטה ואלברטו ניסמן , עורך דין ארגנטינאי בעל פרופיל גבוה ותובע פדרלי. לניסמן היו לכאורה ראיות מפלילות נגד פקידים בכירים בממשלת ארגנטינה, כולל הנשיאה הנוכחית של ארגנטינה כריסטינה אליזבט פרננדס דה קירשנר .
גילוי התוכנה הזדונית ששימשה את קבוצת Packrat התבצע כאשר ניסמן נמצא מת מפציעת ירי בדירתו בבואנוס איירס ב-18 בינואר 2015. המעבדה לזיהוי פלילי במשטרת מטרופולין בואנוס איירס בדקה את טלפון האנדרואיד של ניסמן ומצאה קובץ זדוני. בשם '' estrictamente secreto y confidencial.pdf.jar '', שמתורגם ל'' סודי וסודי בהחלט '' באנגלית.
מאוחר יותר הועלה קובץ זהה למסד נתונים מקוון של וירוסים מארגנטינה, וחשף שזהו AlienSpy, ערכת כלים לגישה מרחוק של תוכנות זדוניות כשירות המעניקה לשחקני איומים את היכולת לתעד את פעילויות הקורבן שלהם, לגשת למצלמת האינטרנט שלהם, לדוא"ל ול יותר. הקובץ נבנה עבור Windows, כלומר ייתכן שהתוקפים לא הצליחו בניסיונותיהם לפרוץ את ניסמן, שפתח אותו בטלפון האנדרואיד שלו.
לאחר פרסום מציאת התוכנה הזדונית, אחרים התייצבו ואמרו שגם הם היו ממוקדים. מאקסימו קירשנר, בנם של נשיאת ארגנטינה הנוכחית דאז כריסטינה אליזבת פרננדס דה קירשנר ונשיא ארגנטינה לשעבר, נסטור קירשנר , טען שהוא היה מטרה על ידי אותה תוכנה זדונית, וסיפק צילומי מסך של אימייל שקיבל ממישהו שהתחזה לשופט הארגנטינאי קלאודיו בונדיו עם כתובת claudiobonadio88@gmail.com .
דוא"ל התקבל על ידי Máximo Kirchner. מקור: ambito.com
ניתוח ראשוני של Morgan Marquis-Boire מ-Citizen Lab גילה שהתוכנה הזדונית ששימשה נגד Kircher, Lanata ו-Nisman הייתה מקושרת לשרת שליטה ובקרה (C2) בשם deyrep24.ddns.net. אותו תחום deyrep24.ddns.net C2 נמצא בשימוש על ידי שלוש דוגמאות תוכנות זדוניות אחרות לאחר בדיקה נוספת. אחת הדגימות הייתה מסמך זדוני בשם '' 3 MAR PROYECTO GRIPEN.docx.jar '' והכיל לכאורה תקשורת בין שגריר אקוודור בשבדיה לנשיא אקוודור רפאל קוריאה בעניין רכישת מטוסי קרב.
חוקרים מ-Citizen Lab ערכו מחקר נוסף לאחר שקיבלו דיווחים רבים על התקפות דיוג נגד עיתונאים ואישי ציבור באקוודור בשנת 2015. רבים מהודעות הדוא"ל וה-SMS הזדוניות שהם בדקו לא היו נושאים פוליטיים, אלא היו רק אוספי אישורים עבור ספקי דוא"ל שונים וחברתיים. כְּלֵי תִקְשׁוֹרֶת. מחקר נוסף גילה שהקמפיין באקוודור כלל תוכן פוליטי מפורש, הנוגע למגוון רחב של נושאים פוליטיים ודמויות במדינה, כמו גם יצירת פרופילים וארגונים מזויפים רבים.
החוקרים חשפו רשת עצומה של חיבורים בין תוכנות זדוניות ואתרי דיוג, בשימוש בקמפיין האקוודור הנרחב. התוכנה הזדונית שהם הפיצו הייתה בעיקר Java RATs, כמו AlienSpy ו-Adzok. רבים מהאתרים שיתפו מידע רישום, בעוד שדגימות תוכנות זדוניות תקשרו בדרך כלל עם daynews.sytes.net, דומיין שמקושר גם למקרים בארגנטינה. החקירה חשפה גם אתרים מזויפים בוונצואלה ותשתיות בברזיל.
תשתית C2 של Packrat. מקור: citizenlab.ca
לקבוצת הפריצה של Packrat יש תשתית מפותחת שנשארה מאובטחת יחסית כבר כמה שנים. הקמפיינים הגדולים, היקרים והמלוטשים שבוצעה על ידי קבוצת הפריצה של Packrat מצביעים על שחקן בחסות המדינה שממומן ומתוחזק היטב.
Packrat צילומי מסך
כתובות אתרים
Packrat עשוי לקרוא לכתובות ה-URL הבאות:
| conhost.servehttp.com |
| daynews.sytes.net |
| deyrep24.ddns.net |
| dllhost.servehttp.com |
| lolinha.no-ip.org |
| ruley.no-ip.org |
| taskmgr.redirectme.com |
| taskmgr.serveftp.com |
| taskmgr.servehttp.com |
| wjwj.no-ip.org |
| wjwjwj.no-ip.org |
| wjwjwjwj.no-ip.org |
