Packrat

„Packrat“ įsilaužimo grupė yra „Advanced Persistent Threat“ (APT), įvykdžiusi keletą plataus masto operacijų, sutelktų Pietų Amerikoje – Argentinoje, Brazilijoje ir Ekvadore. Packrat grupės aktyvumas pasiekė aukščiausią tašką 2015 m. Packrat grėsmės veikėjas linkęs vykdyti sukčiavimo ir duomenų vagystės operacijas, kartu su žvalgybos kampanijomis. Kibernetinio saugumo tyrinėtojai pasirinko šį šios įsilaužimo grupės pavadinimą, nes jų pageidaujamas įrankis yra RAT (Remote Access Trojans). Dauguma „Packrat“ grupės naudojamų RAT yra tai, kas dažnai vadinama kenkėjiška programa kaip prekė. Tai reiškia, kad Packrat grupės naudojami įsilaužimo įrankiai dažniausiai yra perkami arba nuomojami. Atrodo, kad „Packrat“ aktorius specializuojasi socialinėje inžinerijoje, o ne kuria kenkėjiškas programas nuo nulio.

Tikėtina, kad „Packrat“ įsilaužimo grupė yra labai patyrusi kibernetinių nusikaltimų srityje. Jų kampanijos yra sudėtingos ir gerai vykdomos. Žinoma, kad šis grėsmės veikėjas kuria netikras tapatybes ir ištisas nesąžiningas įmones bei organizacijas, siekdamas kuo labiau patobulinti savo socialinės inžinerijos triukus. Kai kurie kenkėjiškų programų ekspertai mano, kad Packrat grupė gali būti remiama vyriausybės. Taip yra dėl to, kad „Packrat“ grėsmės veikėjo taikiniais dažnai tampa aukšto rango politikai, tiriamieji žurnalistai, žiniasklaidos organizacijos ir kitos didelės dominančios įmonės. Be to, atrodo, kad „Packrat“ įsilaužimo grupės vykdomas kampanijas išlaikyti yra gana brangu – greičiausiai šimtai tūkstančių dolerių.

„Packrat“ grupė skleis savo grasinimus per sukčiavimo operacijas. Šios kampanijos apimtų anksčiau minėtas netikras organizacijas ir užpuolikų sukurtas tapatybes. Kai kurie „Packrat“ grupės taikiniai taip pat būtų sukčiavimas tekstiniais pranešimais. Tarp dažniausiai Packrat grasinančio aktoriaus naudojamų grasinimų yra Alien Spy , Adzok, Cybergate ir Xtreme RAT . „Packrat“ įsilaužimo grupės sukčiavimo kampanijos būtų nukreiptos į prisijungimo duomenis prie populiarių svetainių ir paslaugų, tokių kaip „Facebook“, „Twitter“, „Google“ ir įvairių momentinių pranešimų paslaugų. Siekdamas tobulinti savo socialinės inžinerijos taktiką, „Packrat“ grėsmės veikėjas taip pat sukurs netikrus tinklalapius, kurių vienintelis tikslas yra dezinformacija, kuri prisideda prie sudėtingų trūkumų.

Įvykių laiko juosta

2008-2013 m

Packrat grupės naudojami įrankiai ir valdymo bei valdymo infrastruktūra rodo, kad jie aktyviai veikė jau 2008 m. Per pirmuosius penkerius grupės veiklos metus grėsmės veikėjai naudojosi Brazilijoje esančiomis prieglobos paslaugomis, o kai kurie jų kenkėjiškų programų pavyzdžiai buvo įkeltas į internetines virusų nuskaitymo paslaugas iš Brazilijos IP. Daugelis pranešimų, kuriuos „Packrat“ grupė tuo laikotarpiu naudojo, kad priviliotų aukas, buvo užpildyti Brazilijos socialinės inžinerijos turiniu, o tai rodo, kad įsilaužėliai nusitaikė tik į didžiausią Pietų Amerikos šalį.

2014-2015 m

Po gana neįvykusio laikotarpio Packrat pateko į gilius vandenis, kai nusitaikė į žinomą Argentinos žurnalistą ir televizijos žinių vedėją Jorge Lanata ir Alberto Nisman , aukšto rango Argentinos teisininką ir federalinį prokurorą. Manoma, kad Nismanas turėjo kaltinančių įrodymų prieš aukštus Argentinos vyriausybės pareigūnus, įskaitant tuometinę Argentinos prezidentę Cristiną Elisabet Fernández de Kirchner .

Grupės „Packrat“ naudojama kenkėjiška programa buvo aptikta, kai Nismanas buvo rastas negyvas nuo šautinės žaizdos savo bute Buenos Airėse 2015 m. sausio 18 d. Buenos Airių metropoliteno policijos kriminalistikos laboratorija ištyrė Nismano „Android“ telefoną ir rado kenkėjišką failą. pavadintas „ estrictamente secreto y confidencial.pdf.jar “, kuris išvertus iš anglų kalbos reiškia „griežtai slaptas ir konfidencialus“.

Vėliau identiškas failas buvo įkeltas į internetinę virusų duomenų bazę iš Argentinos ir paaiškėjo, kad tai AlienSpy – kenkėjiškų programų kaip paslaugos nuotolinės prieigos įrankių rinkinys, suteikiantis grėsmės subjektams galimybę įrašyti savo aukos veiklą, pasiekti savo internetinę kamerą, el. daugiau. Failas buvo sukurtas „Windows“, o tai reiškia, kad užpuolikai galėjo būti nesėkmingi bandydami įsilaužti į Nismaną, kuris jį atidarė savo „Android“ telefone.

Paviešinus kenkėjiškų programų radinį, kiti pranešė, kad taip pat buvo taikytasi. Maksimo Kirchneris, tuometinės Argentinos prezidentės Cristinos Elisabet Fernández de Kirchner ir buvusio Argentinos prezidento Néstoro Kirchnerio sūnus, tvirtino, kad jį taikė ta pati kenkėjiška programa, pateikdamas el. laiško, kurį gavo iš Argentinos teisėjo Claudio Bonadio apsimetinėjimo, ekrano kopijas. claudiobonadio88@gmail.com .

El. laišką gavo Máximo Kirchner. Šaltinis: ambito.com

Pirminė Morgan Marquis-Boire iš „Citizen Lab“ analizė atskleidė, kad kenkėjiška programa, naudojama prieš Kircherį, Lanatą ir Nismaną, buvo susieta su komandų ir valdymo (C2) serveriu, pavadintu deyrep24.ddns.net. Tolesnio patikrinimo metu buvo nustatyta, kad tą patį deyrep24.ddns.net C2 domeną naudojo trys kiti kenkėjiškų programų pavyzdžiai. Vienas iš pavyzdžių buvo kenkėjiškas dokumentas, pavadintas „ 3 MAR PROYECTO GRIPEN.docx.jar “, kuriame, kaip manoma, buvo Ekvadoro ambasadoriaus Švedijoje ir Ekvadoro prezidento Rafaelio Korėjos bendravimas naikintuvo įsigijimo klausimu.

Mokslininkai iš Citizen Lab atliko tolesnius tyrimus, gavę daugybę pranešimų apie sukčiavimo išpuolius prieš žurnalistus ir visuomenės veikėjus Ekvadore 2015 m. Daugelis jų išnagrinėtų kenkėjiškų el. laiškų ir SMS nebuvo politinės temos, o buvo tik įvairių el. pašto paslaugų teikėjų ir socialinių tinklų kredencialų rinkėjai. žiniasklaida. Tolesni tyrimai atskleidė, kad kampanijoje Ekvadore buvo aiškiai išreikštas politinis turinys, susijęs su daugybe politinių klausimų ir veikėjų šalyje, taip pat daugybės netikrų profilių ir organizacijų kūrimo.

Tyrėjai atskleidė platų kenkėjiškų programų ir sukčiavimo svetainių sąsajų tinklą, naudojamą plačioje Ekvadoro kampanijoje. Kenkėjiškos programos, kurias jie platino, daugiausia buvo Java RAT, pvz., AlienSpy ir Adzok. Daugelyje svetainių buvo dalijamasi registracijos informacija, o kenkėjiškų programų pavyzdžiai paprastai bendravo su daynews.sytes.net – domenu, kuris taip pat yra susietas su Argentinos atvejais. Tyrimas taip pat atskleidė netikras svetaines Venesueloje ir infrastruktūrą Brazilijoje.

Packrat C2 infrastruktūra. Šaltinis: citizenlab.ca

„Packrat“ įsilaužimo grupė turi gerai išvystytą infrastruktūrą, kuri keletą metų išliko gana saugi. Didelio masto, brangios ir gerai nušlifuotos kampanijos, kurias vykdo įsilaužimų grupė „Packrat“, rodo valstybės remiamą veikėją, kuris yra gerai finansuojamas ir prižiūrimas.

Packrat ekrano kopijos