Packrat

Packrat-hackinggruppen er en Advanced Persistent Threat (APT) som har utført flere vidtrekkende operasjoner konsentrert i Sør-Amerika – Argentina, Brasil og Ecuador. Packrat-gruppens aktivitet nådde sitt høydepunkt tilbake i 2015. Packrat-trusselaktøren har en tendens til å utføre phishing- og datatyverioperasjoner, sammen med rekognoseringskampanjer. Cybersikkerhetsforskere har valgt dette navnet for denne hackergruppen, da deres foretrukne verktøy er RATs (Remote Access Trojans). De fleste av RAT-ene som brukes av Packrat-gruppen ser ut til å være det som ofte omtales som malware-som-en-vare. Dette betyr at hackingverktøyene som brukes av Packrat-gruppen kjøpes eller leies for det meste. Packrat-skuespilleren ser ut til å spesialisere seg på sosial ingeniørkunst i stedet for å bygge skadevare fra bunnen av.

Packrat-hackinggruppen er sannsynligvis svært erfaren innen nettkriminalitet. Kampanjene deres er komplekse og godt utført. Denne trusselaktøren er kjent for å skape falske identiteter og hele uredelige selskaper og organisasjoner for å gjøre sine sosiale ingeniørtriks så polerte som mulig. Noen malware-eksperter mener at Packrat-gruppen kan være statlig sponset. Dette skyldes det faktum at målene til Packrat-trusselaktøren ofte er høytstående politikere, undersøkende journalister, medieorganisasjoner og andre store selskaper av interesse. Videre ser det ut til at kampanjene utført av Packrat-hackinggruppen er ganske kostbare å vedlikeholde – sannsynligvis i hundretusenvis av dollar.

Packrat-gruppen ville spre truslene sine via phishing-operasjoner. Disse kampanjene vil involvere de tidligere nevnte falske organisasjonene og identitetene satt opp av angriperne. Noen av målene til Packrat-gruppen vil også være phishing via tekstmeldinger. Blant de mest brukte truslene av den truende Packrat-skuespilleren er Alien Spy , Adzok, Cybergate og Xtreme RAT . Phishing-kampanjene til Packrat-hackinggruppen vil målrette innloggingsinformasjon for populære nettsteder og tjenester som Facebook, Twitter, Google og forskjellige direktemeldingsverktøy. For å perfeksjonere deres sosiale ingeniør-taktikker, vil Packrat-trusselaktøren også lage falske nettsider hvis eneste formål er desinformasjon som inngår i deres forseggjorte ulemper.

Tidslinje for hendelser

2008-2013

Verktøyene og kommando- og kontrollinfrastrukturen som Packrat-gruppen bruker, tyder på at de var aktivt i drift allerede i 2008. I løpet av de første fem årene av gruppens drift brukte trusselaktørene vertstjenester lokalisert i Brasil, og noen av deres malware-eksempler var lastet opp til online virusskanningstjenester fra brasilianske IP-er. Mange av eksempelmeldingene som Packrat-gruppen brukte til å lokke ofre i den perioden var fylt med brasiliansk sosialt ingeniørinnhold, noe som tydet på at hackerne utelukkende hadde målrettet mot det største søramerikanske landet.

2014-2015

Etter en relativt begivenhetsløs periode gikk Packrat inn på dypt vann da det siktet seg mot den kjente argentinske journalisten og TV-nyhetsverten Jorge Lanata og Alberto Nisman , en høyprofilert argentinsk advokat og føderal aktor. Nisman hadde visstnok belastende bevis mot høytstående tjenestemenn i den argentinske regjeringen, inkludert den daværende presidenten til argentinske Cristina Elisabet Fernández de Kirchner .

Oppdagelsen av skadevaren som ble brukt av Packrat-gruppen ble gjort da Nisman ble funnet død av et skuddsår i leiligheten hans i Buenos Aires 18. januar 2015. Det rettsmedisinske laboratoriet ved Buenos Aires Metropolitan Police undersøkte Nismans Android-telefon og fant en ondsinnet fil kalt '' estrictamente secreto y confidencial.pdf.jar '', som oversettes til '' strengt hemmelig og konfidensielt '' på engelsk.

En identisk fil ble senere lastet opp til en nettbasert virusdatabase fra Argentina, og avslørte at det var AlienSpy, et malware-as-a-service fjerntilgangsverktøysett som gir trusselaktører muligheten til å registrere offerets aktiviteter, få tilgang til webkameraet, e-posten og mer. Filen ble bygget for Windows, noe som betyr at angriperne kan ha vært mislykkede i sine forsøk på å hacke Nisman, som åpnet den på sin Android-telefon.

Etter at funn av skadelig programvare ble offentliggjort, kom andre frem og sa at de også hadde blitt målrettet. Máximo Kirchner, sønn av daværende president i Argentina Cristina Elisabet Fernández de Kirchner og den tidligere argentinske presidenten Néstor Kirchner , hevdet at han ble målrettet av samme skadevare, og ga skjermbilder av en e-post han mottok fra noen som utgir seg for å utgi seg for den argentinske dommeren Claudio Bonadio med en adresse claudiobonadio88@gmail.com .

E-post mottatt av Máximo Kirchner. Kilde: ambito.com

En innledende analyse av Morgan Marquis-Boire fra Citizen Lab avslørte at skadelig programvare som ble brukt mot Kircher, Lanata og Nisman var knyttet til en kommando- og kontrollserver (C2) kalt deyrep24.ddns.net. Det samme deyrep24.ddns.net C2-domenet ble funnet å bli brukt av tre andre skadevareprøver ved ytterligere inspeksjon. En av prøvene var et ondsinnet dokument kalt '' 3 MAR PROYECTO GRIPEN.docx.jar '' og skal ha inneholdt kommunikasjon mellom Ecuadors ambassadør i Sverige og Ecuadors president Rafael Correa angående anskaffelse av jagerfly.

Forskere fra Citizen Lab gjorde ytterligere undersøkelser etter å ha mottatt en rekke rapporter om phishing-angrep mot journalister og offentlige personer i Ecuador i 2015. Mange av de ondsinnede e-postene og SMSene som de undersøkte var ikke politisk tema, men var bare innhenting av legitimasjon for forskjellige e-postleverandører og sosiale medier. media. Ytterligere undersøkelser avslørte at kampanjen i Ecuador inkluderte eksplisitt politisk innhold, angående et bredt spekter av politiske spørsmål og skikkelser i landet, samt opprettelsen av mange falske profiler og organisasjoner.

Forskerne avdekket et stort nett av sammenkobling mellom skadelig programvare og phishing-nettsteder, brukt i den omfattende ecuadorianske kampanjen. Skadevaren de distribuerte var for det meste Java RAT-er, som AlienSpy og Adzok. Mange av nettstedene delte registreringsinformasjon, mens prøvene av skadelig programvare vanligvis kommuniserte med daynews.sytes.net, et domene som også er knyttet til de argentinske sakene. Etterforskningen avslørte også falske nettsteder i Venezuela og infrastruktur i Brasil.

Packrats C2-infrastruktur. Kilde: citizenlab.ca

Packrat-hackinggruppen har en velutviklet infrastruktur som har holdt seg relativt sikker i flere år. De storstilte, kostbare og velpolerte kampanjene som er utført av Hackrat-gruppen, peker på en statsstøttet aktør som er godt finansiert og vedlikeholdt.

Packrat skjermbilder