PingPull ļaunprātīga programmatūra
Grupa Gallim APT (Advanced Persistent Threat) ir īstenojusi uzbrukuma kampaņu, kuras mērķis ir finanšu iestādes un valdības struktūras vairākos kontinentos. Konkrētāk, šī iespējamā Ķīnas sponsorētās hakeru grupas jaunākā operācija ir vērsta pret mērķiem Krievijā, Beļģijā, Vjetnamā, Kambodžā, Austrālijā, Filipīnās, Malaizijā un Afganistānā. Turklāt, saskaņā ar Palo Alto tīkla nodaļas 42 kiberdrošības pētniekiem, draudu izraisītājs ir izvietojis jaunu īpaši slepenu RAT (attālās piekļuves Trojas zirgu), kas izsekots kā "PingPull".
PingPull draudi ir paredzēti, lai iefiltrētos mērķa ierīcēs un pēc tam izveidotu tām apgrieztu apvalku. Pēc tam uzbrucēji varēs attālināti izpildīt patvaļīgas komandas. Unit42 ziņojums atklāj, ka ir identificēti trīs atsevišķi PingPull varianti. Galvenā atšķirība starp tiem ir izmantotais sakaru protokols - ICMP, HTTPS vai TCP. Visticamāk, ka Gallium hakeri izvēlas variantu, kas nodrošinās viņiem vislabākās iespējas izvairīties no konkrētām tīkla noteikšanas metodēm vai drošības rīkiem, pamatojoties uz iepriekš iegūto informāciju par mērķi.
Visi trīs varianti pastāv iefiltrētajās iekārtās kā pakalpojums, kura apraksts atdarina likumīga pakalpojuma aprakstu. Arī variantu atpazītās komandas ir vienādas. Tās var būt gan manipulācijas ar failu sistēmu, gan komandu palaišana, izmantojot cmd.exe, gan krātuves apjomu uzskaitīšana, iespēja apturēt failus un datu nosūtīšana operācijas Command-and-Control (C2, C&C) serverim. Ienākošā trafika no C2 tiek šifrēta ar AES kriptogrāfijas algoritmu. Lai atšifrētu komandas un to parametrus, bākai ir pāris kodētu atslēgu.
