Packrat

Grupa hakerska Packrat to Advanced Persistent Threat (APT), która przeprowadziła kilka dalekosiężnych operacji skoncentrowanych w Ameryce Południowej – Argentynie, Brazylii i Ekwadorze. Aktywność grupy Packrat osiągnęła swój szczyt w 2015 roku. Zagrożenia Packrat zwykle przeprowadzają operacje phishingowe i kradzieży danych, a także prowadzą kampanie rozpoznawcze. Badacze cyberbezpieczeństwa wybrali tę nazwę dla tej grupy hakerów, ponieważ ich preferowanym narzędziem są RAT (trojany zdalnego dostępu). Większość RAT wykorzystywanych przez grupę Packrat wydaje się być tym, co często określa się mianem złośliwego oprogramowania jako towaru. Oznacza to, że narzędzia hakerskie wykorzystywane przez grupę Packrat są najczęściej kupowane lub wynajmowane. Wygląda na to, że aktor Packrat specjalizuje się w inżynierii społecznej, a nie w budowaniu złośliwego oprogramowania od podstaw.

Grupa hakerska Packrat prawdopodobnie ma duże doświadczenie w dziedzinie cyberprzestępczości. Ich kampanie są złożone i dobrze zrealizowane. Ten cyberprzestępca jest znany z tworzenia fałszywych tożsamości oraz całych oszukańczych firm i organizacji, aby ich sztuczki socjotechniczne były jak najbardziej dopracowane. Niektórzy eksperci od złośliwego oprogramowania uważają, że grupa Packrat może być sponsorowana przez rząd. Wynika to z faktu, że celem atakującego Packrata są często wysocy rangą politycy, dziennikarze śledczy, organizacje medialne i inne duże firmy będące przedmiotem zainteresowania. Co więcej, wydaje się, że kampanie prowadzone przez grupę hakerską Packrat są dość kosztowne w utrzymaniu – prawdopodobnie sięgają setek tysięcy dolarów.

Grupa Packrat miałaby propagować swoje zagrożenia za pomocą operacji phishingowych. Kampanie te obejmowałyby wspomniane wcześniej fałszywe organizacje i tożsamości utworzone przez atakujących. Niektóre z celów grupy Packrat byłyby również phishingiem za pośrednictwem wiadomości tekstowych. Wśród najczęściej używanych zagrożeń przez aktora Packrat są Alien Spy , Adzok, Cybergate i Xtreme RAT . Kampanie phishingowe grupy hakerskiej Packrat były ukierunkowane na dane logowania do popularnych witryn i usług, takich jak Facebook, Twitter, Google i różnych komunikatorów. Aby udoskonalić swoje taktyki socjotechniczne, cyberprzestępca Packrat będzie również tworzył fałszywe strony internetowe, których jedynym celem jest dezinformacja, która stanowi źródło ich skomplikowanych wad.

Kalendarium wydarzeń

2008-2013

Narzędzia i infrastruktura dowodzenia i kontroli, z których korzysta grupa Packrat, sugerują, że działała aktywnie już w 2008 roku. W ciągu pierwszych pięciu lat działalności grupy cyberprzestępcy korzystali z usług hostingowych zlokalizowanych w Brazylii, a niektóre z ich próbek złośliwego oprogramowania były przesłane do usług skanowania wirusów online z brazylijskich adresów IP. Wiele przykładowych wiadomości, które grupa Packrat wykorzystywała do znęcania się nad ofiarami w tym okresie, było wypełnionych brazylijskimi treściami socjotechnicznymi, co sugeruje, że hakerzy zaatakowali wyłącznie największy kraj Ameryki Południowej.

2014-2015

Po stosunkowo spokojnym okresie Packrat wszedł na głębokie wody, gdy zaatakował znanego argentyńskiego dziennikarza i prezentera telewizyjnego Jorge Lanatę i Alberto Nismana , znanego argentyńskiego prawnika i prokuratora federalnego. Nisman podobno miał obciążające dowody przeciwko wysokim urzędnikom argentyńskiego rządu, w tym ówczesnej prezydent Argentyny Cristinie Elisabet Fernández de Kirchner .

Złośliwe oprogramowanie wykorzystywane przez grupę Packrat zostało wykryte, gdy Nisman został znaleziony martwy z powodu rany postrzałowej w jego mieszkaniu w Buenos Aires 18 stycznia 2015 r. Laboratorium kryminalistyczne policji miejskiej w Buenos Aires przebadało telefon Nismana z systemem Android i znalazło złośliwy plik o nazwie „ estrictamente secreto y confidencial.pdf.jar ”, co w języku angielskim oznacza „ ściśle tajne i poufne ”.

Identyczny plik został później przesłany do internetowej bazy wirusów z Argentyny, ujawniając, że jest to AlienSpy, zestaw narzędzi zdalnego dostępu do złośliwego oprogramowania jako usługi, który umożliwia cyberprzestępcom rejestrowanie działań ofiary, uzyskiwanie dostępu do kamery internetowej, poczty e-mail i jeszcze. Plik został stworzony dla systemu Windows, co oznacza, że atakujący mogli nie powieść się w swoich próbach zhakowania Nismana, który otworzył go na swoim telefonie z Androidem.

Po upublicznieniu znalezionego szkodliwego oprogramowania inni zgłosili się, twierdząc, że oni również byli celem. Máximo Kirchner, syn ówczesnej prezydent Argentyny Cristiny Elisabet Fernández de Kirchner i byłego prezydenta Argentyny Néstora Kirchnera , twierdził, że był celem tego samego złośliwego oprogramowania, dostarczając zrzuty ekranu z e-maila, który otrzymał od kogoś, kto podszywa się pod argentyńskiego sędziego Claudio Bonadio z adresem claudiobonadio88@gmail.com .

[podpis id="attachment_501190" align="aligncenter" width="300"] Wiadomość e-mail odebrana przez Maksyma Kirchnera. Źródło: ambito.com[/caption]

Wstępna analiza przeprowadzona przez Morgan Marquis-Boire z Citizen Lab wykazała, że złośliwe oprogramowanie użyte przeciwko Kircherowi, Lanacie i Nismanowi było połączone z serwerem dowodzenia i kontroli (C2) o nazwie deyrep24.ddns.net. Po dalszej inspekcji ta sama domena deyrep24.ddns.net C2 była używana przez trzy inne próbki złośliwego oprogramowania. Jedną z próbek był złośliwy dokument o nazwie „ 3 MAR PROYECTO GRIPEN.docx.jar ” i rzekomo zawierał komunikację między ambasadorem Ekwadoru w Szwecji a prezydentem Ekwadoru Rafaelem Correą w sprawie nabycia myśliwca.

Naukowcy z Citizen Lab przeprowadzili dalsze badania po otrzymaniu licznych doniesień o atakach phishingowych na dziennikarzy i osoby publiczne w Ekwadorze w 2015 roku. Wiele złośliwych e-maili i SMS-ów, które zbadali, nie było o tematyce politycznej, ale służyło do zbierania danych uwierzytelniających dla różnych dostawców poczty e-mail i społeczności głoska bezdźwięczna. Dalsze badania ujawniły, że kampania w Ekwadorze zawierała treści jednoznacznie polityczne, dotyczące szerokiej gamy kwestii politycznych i postaci w kraju, a także tworzenie wielu fałszywych profili i organizacji.

Badacze odkryli rozległą sieć wzajemnych powiązań między złośliwym oprogramowaniem a witrynami phishingowymi, wykorzystywanych w szeroko zakrojonej kampanii ekwadorskiej. Rozprowadzane przez nich złośliwe oprogramowanie to głównie programy Java RAT, takie jak AlienSpy i Adzok. Wiele witryn udostępniało informacje rejestracyjne, podczas gdy próbki złośliwego oprogramowania zazwyczaj komunikowały się z daynews.sytes.net, domeną, która jest również powiązana z przypadkami argentyńskimi. Dochodzenie ujawniło również fałszywe strony w Wenezueli i infrastrukturę w Brazylii.

[podpis id="attachment_501254" align="aligncenter" width="300"] Infrastruktura C2 firmy Packrat. Źródło: citizenlab.ca[/caption]

Grupa hakerska Packrat ma dobrze rozwiniętą infrastrukturę, która od kilku lat jest stosunkowo bezpieczna. Zakrojone na szeroką skalę, kosztowne i dobrze dopracowane kampanie prowadzone przez grupę hakerską Packrat wskazują na sponsorowanego przez państwo aktora, który jest dobrze finansowany i utrzymywany.

Packrat zrzutów ekranu