Packrat

Packrat hakeru grupa ir Advanced Persistent Threat (APT), kas ir veikusi vairākas tālejošas operācijas, kas koncentrētas Dienvidamerikā – Argentīnā, Brazīlijā un Ekvadorā. Packrat grupas aktivitāte sasniedza kulmināciju 2015. gadā. Packrat draudu dalībnieks mēdz veikt pikšķerēšanas un datu zādzību darbības, kā arī izlūkošanas kampaņas. Kiberdrošības pētnieki šai hakeru grupai ir izvēlējušies šo nosaukumu, jo viņu vēlamais rīks ir RAT (Remote Access Trojans). Šķiet, ka lielākā daļa RAT, ko izmanto Packrat grupa, ir tas, ko bieži dēvē par ļaunprātīgu programmatūru kā preci. Tas nozīmē, ka Packrat grupas izmantotie uzlaušanas rīki galvenokārt tiek iegādāti vai nomāti. Šķiet, ka Packrat aktieris specializējas sociālajā inženierijā, nevis veido ļaunprātīgu programmatūru no nulles.

Packrat hakeru grupai, visticamāk, ir liela pieredze kibernoziedzības jomā. Viņu kampaņas ir sarežģītas un labi izpildītas. Ir zināms, ka šis draudu aktieris rada viltotas identitātes un veselus krāpnieciskus uzņēmumus un organizācijas, lai padarītu savus sociālās inženierijas trikus pēc iespējas smalkākus. Daži ļaunprātīgas programmatūras eksperti uzskata, ka Packrat grupu var sponsorēt valdība. Tas ir saistīts ar faktu, ka Packrat apdraudējuma aktiera mērķi bieži ir augsta ranga politiķi, pētnieciskie žurnālisti, mediju organizācijas un citi interesējoši lieli uzņēmumi. Turklāt varētu šķist, ka Packrat hakeru grupas īstenotās kampaņas ir diezgan dārgas uzturēt — iespējams, simtiem tūkstošu dolāru.

Packrat grupa savus draudus izplatītu, izmantojot pikšķerēšanas operācijas. Šajās kampaņās būtu iesaistītas iepriekš minētās viltus organizācijas un uzbrucēju izveidotās identitātes. Daži no Packrat grupas mērķiem varētu būt pikšķerēšana, izmantojot arī īsziņas. Starp Packrat draudu aktiera visbiežāk izmantotajiem draudiem ir Alien Spy , Adzok, Cybergate un Xtreme RAT . Packrat hakeru grupas pikšķerēšanas kampaņas būtu vērstas uz pieteikšanās akreditācijas datiem tādās populārās vietnēs un pakalpojumos kā Facebook, Twitter, Google un dažādas tūlītējās ziņojumapmaiņas utilītas. Lai pilnveidotu savu sociālās inženierijas taktiku, Packrat draudu aktieris arī izveidos viltus Web lapas, kuru vienīgais mērķis ir dezinformācija, kas iekļaujas to sarežģītajos mīnusos.

Notikumu laika skala

2008-2013

Packrat grupas izmantotie rīki un vadības un kontroles infrastruktūra liecina, ka viņi aktīvi darbojās jau 2008. gadā. Pirmajos piecos grupas darbības gados apdraudējuma dalībnieki izmantoja Brazīlijā esošos hostinga pakalpojumus, un daži to ļaunprātīgas programmatūras paraugi bija augšupielādēts tiešsaistes vīrusu skenēšanas pakalpojumos no Brazīlijas IP. Daudzi ziņojuma paraugi, kurus Packrat grupa izmantoja, lai ēstu upurus šajā periodā, bija piepildīti ar Brazīlijas sociālās inženierijas saturu, kas liecina, ka hakeri bija mērķējuši tikai uz lielāko Dienvidamerikas valsti.

2014-2015

Pēc salīdzinoši nemierīga perioda Pakrats iekļuva dziļos ūdeņos, kad tas vērsās pret labi pazīstamo Argentīnas žurnālistu un TV ziņu vadītāju Horhi Lanatu un Alberto Nismanu , augsta līmeņa Argentīnas advokātu un federālo prokuroru. Tiek uzskatīts, ka Nismanam bija apsūdzoši pierādījumi pret Argentīnas valdības augsta ranga amatpersonām, tostarp toreizējo Argentīnas prezidenti Kristīnu Elizabetu Fernandesu de Kirhneri .

Grupas Packrat izmantotā ļaunprogrammatūra tika atklāta, kad Nismans tika atrasts miris no šautas brūces savā Buenosairesas dzīvoklī 2015. gada 18. janvārī. Buenosairesas Metropolitēna policijas tiesu medicīnas laboratorija pārbaudīja Nismana Android tālruni un atrada ļaunprātīgu failu. ar nosaukumu '' estrictamente secreto y confidencial.pdf.jar '', kas tulkojumā angļu valodā nozīmē '' strikti slepens un konfidenciāls ''.

Identisks fails vēlāk tika augšupielādēts tiešsaistes vīrusu datubāzē no Argentīnas, atklājot, ka tas ir AlienSpy — ļaunprātīgas programmatūras kā pakalpojuma attālās piekļuves rīkkopa, kas sniedz apdraudējuma dalībniekiem iespēju reģistrēt upura darbības, piekļūt savai tīmekļa kamerai, e-pastam un vairāk. Fails tika izveidots operētājsistēmai Windows, kas nozīmē, ka uzbrucēji, iespējams, bija neveiksmīgi mēģinājumi uzlauzt Nismanu, kurš to atvēra savā Android tālrunī.

Pēc tam, kad ļaunprogrammatūras atradums tika publiskots, citi pieteicās, sakot, ka arī viņi ir bijuši mērķtiecīgi. Maksimo Kirhners, tobrīd pašreizējās Argentīnas prezidentes Kristīnas Elizabetas Fernandesas de Kirhneres un bijušā Argentīnas prezidenta Nestora Kirhnera dēls, apgalvoja, ka pret viņu ir vērsta tā pati ļaunprogrammatūra, sniedzot ekrānšāviņus no e-pasta, ko viņš saņēma no kāda, kurš uzdodas par Argentīnas tiesnesi Klaudio Bonadio ar adresi. claudiobonadio88@gmail.com .

E-pastu saņēma Maksimo Kirhners. Avots: ambito.com

Sākotnējā analīzē, ko veica Morgan Marquis-Boire no Citizen Lab, atklājās, ka ļaunprātīgā programmatūra, kas tika izmantota pret Kirheru, Lanatu un Nismanu, bija saistīta ar komandu un kontroles (C2) serveri ar nosaukumu deyrep24.ddns.net. To pašu deyrep24.ddns.net C2 domēnu tālākās pārbaudēs atklāja trīs citi ļaunprātīgas programmatūras paraugi. Viens no paraugiem bija ļaunprātīgs dokuments ar nosaukumu '' 3 MAR PROYECTO GRIPEN.docx.jar '', un tajā, domājams, bija saziņa starp Ekvadoras vēstnieku Zviedrijā un Ekvadoras prezidentu Rafaelu Korreju par kaujas lidmašīnu iegādi.

Pētnieki no Citizen Lab veica turpmāku izpēti pēc tam, kad 2015. gadā saņēma neskaitāmus ziņojumus par pikšķerēšanas uzbrukumiem žurnālistiem un sabiedriskām personām Ekvadorā. Daudzi no viņu pārbaudītajiem ļaunprātīgajiem e-pasta ziņojumiem un īsziņām nebija saistīti ar politisku tematiku, bet bija tikai dažādu e-pasta pakalpojumu sniedzēju un sociālo tīklu akreditācijas datu apkopotāji. plašsaziņas līdzekļi. Turpmākie pētījumi atklāja, ka kampaņa Ekvadorā ietvēra nepārprotami politisku saturu, kas skar dažādus politiskos jautājumus un personas valstī, kā arī daudzu viltus profilu un organizāciju izveidi.

Pētnieki atklāja plašu savstarpējo savienojumu tīklu starp ļaunprātīgu programmatūru un pikšķerēšanas vietnēm, ko izmantoja plašajā Ekvadoras kampaņā. Viņu izplatītā ļaunprātīgā programmatūra galvenokārt bija Java RAT, piemēram, AlienSpy un Adzok. Daudzas vietnes kopīgoja reģistrācijas informāciju, savukārt ļaunprātīgas programmatūras paraugi parasti sazinājās ar daynews.sytes.net — domēnu, kas ir saistīts arī ar Argentīnas gadījumiem. Izmeklēšanā tika atklātas arī viltotas vietnes Venecuēlā un infrastruktūra Brazīlijā.

Packrat C2 infrastruktūra. Avots: citizenlab.ca

Packrat hakeru grupai ir labi attīstīta infrastruktūra, kas vairākus gadus ir saglabājusies samērā droša. Packrat hakeru grupas veiktās vērienīgās, dārgās un labi noslīpētās kampaņas norāda uz valsts sponsorētu dalībnieku, kas ir labi finansēts un uzturēts.

Packrat ekrānuzņēmumi