Štakor iz čopora
Hakerska grupa Packrat je Advanced Persistent Threat (APT) koja je provela nekoliko dalekosežnih operacija koncentriranih u Južnoj Americi – Argentini, Brazilu i Ekvadoru. Aktivnost grupe Packrat dosegla je svoj vrhunac još 2015. Packrat prijetnja ima tendenciju da provodi operacije krađe podataka i krađe podataka, uz izvidničke kampanje. Istraživači kibernetičke sigurnosti odabrali su ovo ime za ovu hakersku grupu jer je njihov preferirani alat RATs (Remote Access Trojans). Čini se da je većina RAT-ova koje koristi Packrat grupa ono što se često naziva zlonamjernim softverom kao robom. To znači da se alati za hakiranje koje koristi Packrat grupa uglavnom kupuju ili iznajmljuju. Čini se da se glumac Packrat specijalizirao za društveni inženjering, a ne za izradu zlonamjernog softvera od nule.
Hakerska grupa Packrat vjerojatno će biti vrlo iskusna u području kibernetičkog kriminala. Njihove su kampanje složene i dobro izvedene. Poznato je da ovaj akter prijetnji stvara lažne identitete i cijele lažne tvrtke i organizacije kako bi svoje trikove socijalnog inženjeringa učinili što je moguće uglađenijim. Neki stručnjaci za zlonamjerni softver vjeruju da grupa Packrat može biti pod pokroviteljstvom vlade. To je zbog činjenice da su mete aktera prijetnji Packrat često visokopozicionirani političari, istraživački novinari, medijske organizacije i druge velike tvrtke od interesa. Nadalje, čini se da su kampanje koje provodi hakerska grupa Packrat prilično skupe za održavanje – vjerojatno u stotinama tisuća dolara.
Grupa Packrat će svoje prijetnje propagirati putem phishing operacija. Te bi kampanje uključivale prethodno spomenute lažne organizacije i identitete koje su postavili napadači. Neki od ciljeva grupe Packrat također bi bili phishing putem tekstualnih poruka. Među najčešće korištenim prijetnjama od strane Packrat prijetećeg glumca su Alien Spy , Adzok, Cybergate i Xtreme RAT . Kampanje krađe identiteta hakerske grupe Packrat ciljale bi vjerodajnice za prijavu na popularne web stranice i usluge kao što su Facebook, Twitter, Google i razni programi za razmjenu trenutnih poruka. Kako bi usavršio svoju taktiku društvenog inženjeringa, akter prijetnje Packrat također će kreirati lažne web stranice čija je jedina svrha dezinformacija koja se unosi u njihove razrađene nedostatke.
Sadržaj
Vremenska traka događaja
2008.-2013
Alati i infrastruktura zapovijedanja i upravljanja koje grupa Packrat koristi sugeriraju da su aktivno djelovali još 2008. Tijekom prvih pet godina djelovanja grupe, akteri prijetnji koristili su usluge hostinga smještene u Brazilu, a neki od njihovih uzoraka zlonamjernog softvera bili su preneseno na internetske usluge skeniranja virusa s brazilskih IP-ova. Mnogi uzorci poruka koje je skupina Packrat koristila za mamljenje žrtava u tom razdoblju bili su ispunjeni brazilskim sadržajem društvenog inženjeringa, što sugerira da su hakeri ciljali isključivo na najveću južnoameričku državu.
2014-2015
Nakon relativno mirnog razdoblja, Packrat je ušao u duboke vode kada je ciljao na poznatog argentinskog novinara i voditelja TV vijesti Jorgea Lanatu i Alberta Nismana , argentinskog odvjetnika visokog profila i saveznog tužitelja. Nisman je navodno imao inkriminirajuće dokaze protiv visokih dužnosnika argentinske vlade, uključujući tadašnju argentinsku predsjednicu Cristinu Elisabet Fernández de Kirchner .
Otkriće zlonamjernog softvera kojeg je koristila grupa Packrat napravljeno je kada je Nisman pronađen mrtav od rane od vatrenog oružja u svom stanu u Buenos Airesu 18. siječnja 2015. Forenzički laboratorij u Buenos Aires Metropolitan policiji pregledao je Nismanov Android telefon i pronašao zlonamjernu datoteku pod nazivom '' estrictamente secreto y confidencial.pdf.jar '', što na engleskom znači '' strogo tajno i povjerljivo ''.
Identična datoteka je kasnije prenesena u internetsku bazu podataka o virusima iz Argentine, otkrivajući da je to AlienSpy, alat za daljinski pristup zlonamjernom softveru kao usluzi koji akterima prijetnji daje mogućnost snimanja aktivnosti svoje žrtve, pristupa njihovoj web kameri, e-pošti i više. Datoteka je napravljena za Windows, što znači da su napadači mogli biti neuspješni u pokušajima hakiranja Nismana, koji ju je otvorio na svom Android telefonu.
Nakon što je nalaz zlonamjernog softvera objavljen javnosti, javili su se i drugi koji su rekli da su i oni bili na meti. Máximo Kirchner, sin tadašnje sadašnje predsjednice Argentine Cristine Elisabet Fernández de Kirchner i bivšeg argentinskog predsjednika Néstora Kirchnera , tvrdio je da je bio na meti istog zlonamjernog softvera, dajući snimke zaslona e-pošte koju je dobio od nekoga tko se lažno predstavlja kao argentinski sudac Claudio Bonadio s adresom claudiobonadio88@gmail.com .
E-mail primio Máximo Kirchner. Izvor: ambito.com
Početna analiza Morgana Marquis-Boirea iz Citizen Laba otkrila je da je zlonamjerni softver korišten protiv Kirchera, Lanate i Nismana povezan s poslužiteljem za zapovijedanje i kontrolu (C2) pod nazivom deyrep24.ddns.net. Istu domenu C2 deyrep24.ddns.net koriste tri druga uzorka zlonamjernog softvera nakon daljnjeg pregleda. Jedan od uzoraka bio je zlonamjerni dokument pod nazivom '' 3 MAR PROYECTO GRIPEN.docx.jar '' i navodno je sadržavao komunikaciju između veleposlanika Ekvadora u Švedskoj i ekvadorskog predsjednika Rafaela Corree o pitanju nabave borbenih zrakoplova.
Istraživači iz Citizen Laba proveli su daljnja istraživanja nakon što su 2015. primili brojna izvješća o napadima krađe identiteta na novinare i javne osobe u Ekvadoru. Mnogi od zlonamjernih e-poruka i SMS-ova koje su pregledali nisu bili političke tematike, već su bili samo prikupljači vjerodajnica za različite davatelje usluga e-pošte i društvene mreže. medija. Daljnja istraživanja su otkrila da je kampanja u Ekvadoru uključivala eksplicitno politički sadržaj, koji se tiče širokog spektra političkih pitanja i osoba u zemlji, kao i stvaranje mnogih lažnih profila i organizacija.
Istraživači su otkrili golemu mrežu međusobne povezanosti između zlonamjernog softvera i stranica za krađu identiteta, korištene u opsežnoj kampanji u Ekvadoru. Zlonamjerni softver koji su distribuirali uglavnom je bio Java RAT, poput AlienSpyja i Adzoka. Mnoge web stranice dijelile su podatke o registraciji, dok su uzorci zlonamjernog softvera obično komunicirali s daynews.sytes.net, domenom koja je također povezana s argentinskim slučajevima. Istraga je također otkrila lažne stranice u Venezueli i infrastrukturu u Brazilu.
Packratova C2 infrastruktura. Izvor: citizenlab.ca
Hakerska grupa Packrat ima dobro razvijenu infrastrukturu koja je ostala relativno sigurna nekoliko godina. Velike, skupe i dobro uglađene kampanje koje provodi Packrat hakerska grupa ukazuju na državno sponzoriranog aktera koji je dobro financiran i održavan.
Štakor iz čopora Snimaka Zaslona
URL-ovi
Štakor iz čopora može pozvati sljedeće URL-ove:
| conhost.servehttp.com |
| daynews.sytes.net |
| deyrep24.ddns.net |
| dllhost.servehttp.com |
| lolinha.no-ip.org |
| ruley.no-ip.org |
| taskmgr.redirectme.com |
| taskmgr.serveftp.com |
| taskmgr.servehttp.com |
| wjwj.no-ip.org |
| wjwjwj.no-ip.org |
| wjwjwjwj.no-ip.org |
