Nazar APT

Nazar įsilaužimo grupė yra neseniai atskleista APT (Advanced Persistent Threat). Kenkėjiškų programų tyrinėtojai mano, kad ši įsilaužimo grupė gali būti liūdnai pagarsėjusio APT37 dalis. Pastaroji yra Kinijoje įsikūrusi programišių grupė, kuri taip pat žinoma slapyvardžiu Emissary Panda. 2017 m. nutekėjo „Shadow Brokers“ įsilaužimo grupė, kuri apėmė įdomią informaciją apie „Nazar APT“ veiklą ir įsilaužimo arsenalą.

Remiantis „Shadow Brokers“ nutekėjimu, „Nazar“ įsilaužimo grupė veikiausiai veikia jau dešimtmetį – nuo 2010 m. Atrodo, kad dauguma „Nazar APT“ taikinių yra Irane. Per dešimt „Nazar APT“ veiklos metų įsilaužimo grupė atnaujino savo įrankių arsenalą ir dažnai keitė savo taikinius. Vienas iš naujausių įsilaužimo įrankių yra EYService Backdoor Trojos arklys, kuris yra grėsmė, kuri veikia labai tyliai ir gali išvengti aptikimo ilgą laiką. EYService Trojos arklys buvo naudojamas Nazar APT kampanijose, skirtose Irano aukoms. Ši grėsmė gali rinkti informaciją, atlikti sudėtingas žvalgybos operacijas ir užkrėstame pagrindiniame kompiuteryje įdiegti papildomą kenkėjišką programą. Siekiant išvengti kai kurių apsaugos nuo kenkėjiškų programų aptikimo, EYService kenkėjiškų programų naudingoji apkrova buvo užtemdyta naudojant teisėtas priemones, taip pat viešai prieinamus įsilaužimo įrankius. Tai yra triukas, kurį naudoja daugybė kibernetinių sukčių visame pasaulyje.

Nepaisant to, kad „Nazar“ įsilaužimo grupė veikia daugiau nei dešimtmetį, informacijos apie jų kampanijas ir taikinius nėra daug. Atrodo, kad šis APT nori likti atokiau nuo dėmesio ir atsargiai. Tikėtina, kad kenkėjiškų programų tyrinėtojai ateityje galės daugiau sužinoti apie šiuos kibernetinius sukčius ir jų motyvus.