Packrat

Kumpulan penggodaman Packrat ialah Advanced Persistent Threat (APT) yang telah menjalankan beberapa operasi meluas yang tertumpu di Amerika Selatan - Argentina, Brazil dan Ecuador. Aktiviti kumpulan Packrat mencapai kemuncaknya pada tahun 2015. Aktor ancaman Packrat cenderung untuk menjalankan operasi pancingan data dan kecurian data, di samping kempen peninjauan. Penyelidik keselamatan siber telah memilih nama ini untuk kumpulan penggodaman ini kerana alat pilihan mereka ialah RAT (Remote Access Trojans). Kebanyakan RAT yang digunakan oleh kumpulan Packrat kelihatan seperti yang sering dirujuk sebagai perisian hasad-sebagai-komoditi. Ini bermakna alat penggodaman yang digunakan oleh kumpulan Packrat kebanyakannya dibeli atau disewa. Pelakon Packrat nampaknya pakar dalam kejuruteraan sosial dan bukannya membina perisian hasad dari awal.

Kumpulan penggodaman Packrat berkemungkinan sangat berpengalaman dalam bidang jenayah siber. Kempen mereka adalah kompleks dan dilaksanakan dengan baik. Aktor ancaman ini dikenali untuk mencipta identiti palsu dan seluruh syarikat serta organisasi penipuan untuk membuat helah kejuruteraan sosial mereka segilap mungkin. Sesetengah pakar perisian hasad percaya bahawa kumpulan Packrat mungkin ditaja oleh kerajaan. Ini disebabkan oleh fakta bahawa sasaran pelakon ancaman Packrat selalunya adalah ahli politik berpangkat tinggi, wartawan penyiasat, organisasi media dan syarikat besar lain yang berkepentingan. Tambahan pula, nampaknya kempen yang dijalankan oleh kumpulan penggodaman Packrat agak mahal untuk diselenggara - mungkin dalam ratusan ribu dolar.

Kumpulan Packrat akan menyebarkan ancaman mereka melalui operasi pancingan data. Kempen ini akan melibatkan organisasi dan identiti palsu yang disebut sebelum ini yang ditubuhkan oleh penyerang. Beberapa sasaran kumpulan Packrat akan melakukan pancingan data melalui mesej teks juga. Antara ancaman yang paling biasa digunakan oleh pelakon ancaman Packrat ialah Alien Spy , Adzok, Cybergate dan Xtreme RAT . Kempen pancingan data kumpulan penggodaman Packrat akan menyasarkan kelayakan log masuk untuk tapak web dan perkhidmatan popular seperti Facebook, Twitter, Google dan pelbagai utiliti pemesejan segera. Untuk menyempurnakan taktik kejuruteraan sosial mereka, pelakon ancaman Packrat juga akan mencipta halaman Web palsu yang tujuan utamanya adalah disinformasi yang memasukkan keburukan terperinci mereka.

Garis masa Peristiwa

2008-2013

Alat serta infrastruktur arahan dan kawalan yang digunakan kumpulan Packrat menunjukkan bahawa mereka telah beroperasi secara aktif seawal tahun 2008. Dalam tempoh lima tahun pertama operasi kumpulan itu, pelaku ancaman menggunakan perkhidmatan pengehosan yang terletak di Brazil, dengan beberapa sampel perisian hasad mereka adalah dimuat naik ke perkhidmatan pengimbasan virus dalam talian daripada IP Brazil. Banyak contoh mesej yang digunakan kumpulan Packrat untuk mengumpan mangsa dalam tempoh itu dipenuhi dengan kandungan kejuruteraan sosial Brazil, menunjukkan bahawa penggodam telah menyasarkan negara terbesar Amerika Selatan secara eksklusif.

2014-2015

Selepas tempoh yang agak lancar, Packrat memasuki perairan dalam apabila ia menyasarkan wartawan terkenal Argentina dan pengacara berita TV Jorge Lanata dan Alberto Nisman , seorang peguam berprofil tinggi Argentina dan pendakwa raya persekutuan. Nisman kononnya mempunyai bukti yang memberatkan terhadap pegawai berpangkat tinggi kerajaan Argentina, termasuk Presiden Argentina ketika itu, Cristina Elisabet Fernández de Kirchner .

Penemuan perisian hasad yang digunakan oleh kumpulan Packrat dibuat apabila Nisman ditemui mati akibat luka tembak di apartmennya di Buenos Aires pada 18 Januari 2015. Makmal forensik di Polis Metropolitan Buenos Aires memeriksa telefon Android Nisman dan menemui fail berniat jahat dinamakan '' estrictamente secreto y confidencial.pdf.jar '', yang diterjemahkan kepada '' strictamente secreto y confidential '' dalam bahasa Inggeris.

Fail yang sama kemudiannya telah dimuat naik ke pangkalan data virus dalam talian dari Argentina, mendedahkan ia sebagai AlienSpy, kit alat akses jauh perisian hasad-sebagai-satu-perkhidmatan yang memberikan pelakon ancaman keupayaan untuk merakam aktiviti mangsa mereka, mengakses kamera web mereka, e-mel dan lebih. Fail itu dibina untuk Windows, bermakna penyerang mungkin tidak berjaya dalam percubaan mereka untuk menggodam Nisman, yang membukanya pada telefon Androidnya.

Selepas penemuan perisian hasad didedahkan kepada umum, yang lain tampil ke hadapan, mengatakan bahawa mereka juga telah disasarkan. Máximo Kirchner, anak kepada Presiden Argentina semasa Cristina Elisabet Fernández de Kirchner dan bekas Presiden Argentina Néstor Kirchner , mendakwa dia disasarkan oleh perisian hasad yang sama, memberikan tangkapan skrin e-mel yang diterima daripada seseorang yang menyamar sebagai hakim Argentina Claudio Bonadio dengan alamat claudiobonadio88@gmail.com .

E-mel diterima oleh Máximo Kirchner. Sumber: ambito.com

Analisis awal oleh Morgan Marquis-Boire dari Citizen Lab mendedahkan bahawa perisian hasad yang digunakan terhadap Kircher, Lanata dan Nisman telah dikaitkan dengan pelayan arahan dan kawalan (C2) bernama deyrep24.ddns.net. Domain C2 deyrep24.ddns.net yang sama didapati digunakan oleh tiga sampel perisian hasad lain selepas pemeriksaan lanjut. Salah satu sampel ialah dokumen berniat jahat bernama '' 3 MAR PROYECTO GRIPEN.docx.jar '' dan kononnya mengandungi komunikasi antara Duta Ecuador ke Sweden dan Presiden Ecuador Rafael Correa mengenai perkara pemerolehan jet pejuang.

Penyelidik dari Citizen Lab melakukan penyelidikan lanjut selepas menerima banyak laporan serangan pancingan data terhadap wartawan dan tokoh masyarakat di Ecuador pada tahun 2015. Kebanyakan e-mel dan SMS berniat jahat yang mereka periksa tidak bertemakan politik tetapi hanya penuai kelayakan untuk pembekal e-mel dan sosial yang berbeza media. Penyelidikan lanjut mendedahkan bahawa kempen di Ecuador termasuk kandungan politik yang jelas, mengenai pelbagai isu dan tokoh politik di negara itu, serta penciptaan banyak profil dan organisasi palsu.

Para penyelidik menemui satu rangkaian luas yang saling berkaitan antara perisian hasad dan tapak pancingan data, yang digunakan dalam kempen Ecuador yang meluas. Malware yang mereka edarkan kebanyakannya Java RAT, seperti AlienSpy dan Adzok. Kebanyakan tapak web berkongsi maklumat pendaftaran, manakala sampel perisian hasad biasanya berkomunikasi dengan daynews.sytes.net, domain yang turut dikaitkan dengan kes Argentina. Siasatan juga mendedahkan tapak palsu di Venezuela dan infrastruktur di Brazil.

Infrastruktur C2 Packrat. Sumber: citizenlab.ca

Kumpulan penggodaman Packrat mempunyai infrastruktur yang dibangunkan dengan baik yang kekal selamat selama beberapa tahun. Kempen berskala besar, mahal dan digilap dengan baik yang dijalankan oleh kumpulan penggodaman Packrat menunjuk kepada pelakon tajaan kerajaan yang dibiayai dan diselenggara dengan baik.

Packrat Tangkapan skrin