Lomfelhalmozó

A Packrat hackercsoport egy Advanced Persistent Threat (APT), amely számos nagy horderejű műveletet hajtott végre Dél-Amerikában – Argentínában, Brazíliában és Ecuadorban. A Packrat csoport tevékenysége 2015-ben érte el csúcspontját. A Packrat fenyegetettség szereplője hajlamos adathalász és adatlopási műveleteket végrehajtani a felderítő kampányok mellett. A kiberbiztonsági kutatók ezt a nevet választották ennek a hackercsoportnak, mivel kedvenc eszközük a RAT-ok (Remote Access Trojans). Úgy tűnik, hogy a Packrat csoport által használt legtöbb RAT olyan, amit gyakran rosszindulatú szoftvernek, mint árucikknek neveznek. Ez azt jelenti, hogy a Packrat csoport által használt hackereszközöket többnyire vásárolják vagy bérlik. A Packrat-színész a jelek szerint a szociális tervezésre specializálódott, nem pedig a rosszindulatú programok létrehozására.

A Packrat hackercsoport valószínűleg nagyon tapasztalt a kiberbűnözés területén. Kampányaik összetettek és jól kivitelezettek. Ez a fenyegető szereplő köztudottan hamis személyazonosságokat és egész csaló társaságokat és szervezeteket hoz létre, hogy a lehető legkifinomultabbá tegyék szociális tervezési trükkjeit. Egyes rosszindulatú programokkal foglalkozó szakértők úgy vélik, hogy a Packrat csoportot a kormány támogathatja. Ennek oka az a tény, hogy a Packrat fenyegetettség szereplőjének célpontjai gyakran magas rangú politikusok, oknyomozó újságírók, médiaszervezetek és más érdekeltségű nagyvállalatok. Ezenkívül úgy tűnik, hogy a Packrat hackercsoport által végrehajtott kampányok fenntartása meglehetősen költséges – valószínűleg több százezer dollárba kerül.

A Packrat csoport adathalász műveletekkel terjesztené fenyegetéseit. Ezek a kampányok a korábban említett hamis szervezeteket és a támadók által felállított identitásokat érintenék. A Packrat csoport egyes célpontjai szöveges üzeneteken keresztül is adathalászatot folytatnak. A Packrat fenyegető színész által leggyakrabban használt fenyegetések közé tartozik az Alien Spy , az Adzok, a Cybergate és az Xtreme RAT . A Packrat hackercsoport adathalász kampányai olyan népszerű webhelyek és szolgáltatások bejelentkezési adatait céloznák meg, mint a Facebook, Twitter, Google és különféle azonnali üzenetküldő segédprogramok. Szociális tervezési taktikájuk tökéletesítése érdekében a Packrat fenyegetettség szereplője hamis weboldalakat is létrehoz, amelyeknek egyetlen célja a dezinformáció, amely beépíti a bonyolult hátrányaikat.

Az események idővonala

2008-2013

A Packrat csoport által használt eszközök és irányítási infrastruktúra arra utal, hogy már 2008-ban is aktívan működtek. A csoport működésének első öt évében a fenyegetés szereplői Brazíliában található hosting szolgáltatásokat vettek igénybe, és rosszindulatú programok mintáik egy része brazil IP-kről feltöltött online víruskereső szolgáltatásokba. Sok mintaüzenet, amelyet a Packrat csoport abban az időszakban használt az áldozatok csalira, tele volt brazil social engineering tartalommal, ami arra utal, hogy a hackerek kizárólag a legnagyobb dél-amerikai országot vették célba.

2014-2015

Egy viszonylag eseménytelen időszak után a Packrat mély vizekre szállt, amikor a jól ismert argentin újságírót és tévéhíradót, Jorge Lanatát és Alberto Nismant , egy magas rangú argentin ügyvédet és szövetségi ügyészt vette célba. Nismannak állítólag terhelő bizonyítékai voltak az argentin kormány magas rangú tisztviselői, köztük Cristina Elisabet Fernández de Kirchner akkori argentin elnöke ellen.

A Packrat csoport által használt rosszindulatú program felfedezésére akkor került sor, amikor Nismant 2015. január 18-án lövés következtében holtan találták Buenos Aires-i lakásában. A Buenos Aires-i Fővárosi Rendőrség törvényszéki laboratóriuma megvizsgálta Nisman Android-telefonját, és rosszindulatú fájlt talált. '' estrictamente secreto y confidencial.pdf.jar '' néven, ami angolul '' szigorúan titkos és bizalmas '' szót jelent.

Később egy azonos fájlt feltöltöttek egy Argentínából származó online vírusadatbázisba, és kiderült, hogy ez az AlienSpy, egy rosszindulatú programként szolgáló távelérési eszközkészlet, amely lehetővé teszi a fenyegetés szereplői számára, hogy rögzítsék áldozatuk tevékenységét, hozzáférjenek webkamerájukhoz, e-mailjeikhez és több. A fájl Windows számára készült, ami azt jelenti, hogy a támadók sikertelenül próbálhatták feltörni Nismant, aki megnyitotta azt Android telefonján.

A kártevő-lelet nyilvánosságra hozatala után mások is jelentkeztek, mondván, őket is célba vették. Máximo Kirchner, Argentína akkori elnökének, Cristina Elisabet Fernández de Kirchnernek és Néstor Kirchner volt argentin elnöknek a fia azt állította, hogy ugyanaz a rosszindulatú program célpontja volt, és képernyőképeket készített arról az e-mailről, amelyet valakitől kapott valaki, aki Claudio Bonadio argentin bírónak adta ki magát a címmel. claudiobonadio88@gmail.com .

Máximo Kirchner e-mailt kapott. Forrás: ambito.com

Morgan Marquis-Boire, a Citizen Lab első elemzése feltárta, hogy a Kircher, Lanata és Nisman ellen használt rosszindulatú program egy deyrep24.ddns.net nevű parancs- és vezérlőszerverhez (C2) kapcsolódik. A további vizsgálat során kiderült, hogy ugyanazt a deyrep24.ddns.net C2 tartományt használja három másik rosszindulatú programminta. Az egyik minta egy „3 MAR PROYECTO GRIPEN.docx.jar ” nevű rosszindulatú dokumentum volt, amely állítólag Ecuador svédországi nagykövete és Rafael Correa ecuadori elnök közötti kommunikációt tartalmazott a vadászrepülőgép-beszerzés ügyében.

A Citizen Lab kutatói további kutatásokat végeztek, miután 2015-ben számos jelentést kaptak újságírók és közéleti személyiségek elleni adathalász támadásokról Ecuadorban. Az általuk vizsgált rosszindulatú e-mailek és SMS-ek közül sok nem politikai témájú volt, hanem csak hitelesítő adatgyűjtő volt különböző e-mail-szolgáltatók és közösségi oldalak számára. média. A további kutatások feltárták, hogy az ecuadori kampány kifejezetten politikai tartalmat tartalmazott, az ország számos politikai kérdésével és személyiségével, valamint számos hamis profil és szervezet létrehozásával.

A kutatók a rosszindulatú programok és az adathalász webhelyek közötti kapcsolatok hatalmas hálóját tárták fel, amelyet a kiterjedt ecuadori kampány során használtak. Az általuk terjesztett rosszindulatú programok többnyire Java RAT-ok voltak, mint például az AlienSpy és az Adzok. Sok webhely regisztrációs információkat osztott meg, míg a rosszindulatú programok mintái jellemzően a daynews.sytes.net domainnel kommunikáltak, amely domain szintén kapcsolódik az argentin esetekhez. A vizsgálat emellett feltárt hamis webhelyeket Venezuelában és infrastruktúrát Brazíliában.

A Packrat C2 infrastruktúrája. Forrás: citizenlab.ca

A Packrat hackercsoport jól fejlett infrastruktúrával rendelkezik, amely évek óta viszonylag biztonságos. A Packrat hackercsoport nagyszabású, költséges és jól kidolgozott kampányai egy államilag támogatott, jól finanszírozott és karbantartott szereplőre utalnak.

Lomfelhalmozó képernyőkép