Packrat

Grupul de hacking Packrat este un Advanced Persistent Threat (APT) care a desfășurat mai multe operațiuni de anvergură concentrate în America de Sud – Argentina, Brazilia și Ecuador. Activitatea grupului Packrat a atins apogeul în 2015. Actorul amenințărilor Packrat tinde să desfășoare operațiuni de phishing și furt de date, alături de campanii de recunoaștere. Cercetătorii în domeniul securității cibernetice au ales acest nume pentru acest grup de hacking, deoarece instrumentul lor preferat este RATs (Remote Access Troians). Cele mai multe dintre RAT-urile utilizate de grupul Packrat par a fi ceea ce este adesea denumit malware-ca-o marfă. Aceasta înseamnă că instrumentele de hacking utilizate de grupul Packrat sunt achiziționate sau închiriate în mare parte. Actorul Packrat pare să se specializeze mai degrabă în inginerie socială decât în construirea de malware de la zero.

Grupul de hacking Packrat este probabil să fie foarte experimentat în domeniul criminalității cibernetice. Campaniile lor sunt complexe și bine executate. Acest actor de amenințare este cunoscut pentru a crea identități false și companii și organizații întregi frauduloase pentru a-și face trucurile de inginerie socială cât mai bine șlefuite. Unii experți în malware cred că grupul Packrat poate fi sponsorizat de guvern. Acest lucru se datorează faptului că ținta actorului amenințării Packrat sunt adesea politicieni de rang înalt, jurnaliști de investigație, organizații media și alte companii mari de interes. În plus, s-ar părea că campaniile desfășurate de grupul de hacking Packrat sunt destul de costisitoare de întreținut – probabil de sute de mii de dolari.

Grupul Packrat și-ar propaga amenințările prin operațiuni de phishing. Aceste campanii ar implica organizațiile și identitățile false menționate anterior înființate de atacatori. Unele dintre țintele grupului Packrat ar fi phishing și prin mesaje text. Printre cele mai frecvent utilizate amenințări de către actorul care amenință Packrat se numără Alien Spy , Adzok, Cybergate și Xtreme RAT . Campaniile de phishing ale grupului de hacking Packrat ar viza acreditările de conectare pentru site-uri web și servicii populare, cum ar fi Facebook, Twitter, Google și diverse utilitare de mesagerie instantanee. Pentru a-și perfecționa tacticile de inginerie socială, actorul amenințării Packrat va crea, de asemenea, pagini web false al căror singur scop este dezinformarea care se alimentează în dezavantajele lor elaborate.

Cronologia evenimentelor

2008-2013

Instrumentele și infrastructura de comandă și control pe care le utilizează grupul Packrat sugerează că aceștia funcționau în mod activ încă din 2008. În primii cinci ani de funcționare ai grupului, actorii amenințărilor au folosit servicii de găzduire situate în Brazilia, unele dintre eșantioanele lor de malware fiind încărcat în serviciile de scanare antivirus online de la IP-uri braziliene. Multe dintre exemplele de mesaje pe care grupul Packrat le folosea pentru a momeli victimele în acea perioadă erau pline de conținut brazilian de inginerie socială, sugerând că hackerii au vizat exclusiv cea mai mare țară din America de Sud.

2014-2015

După o perioadă relativ fără evenimente, Packrat a intrat în ape adânci când i-a vizat pe cunoscutul jurnalist argentinian și prezentatorul de știri TV Jorge Lanata și Alberto Nisman , un avocat argentinian de mare profil și procuror federal. Nisman ar fi avut dovezi incriminatoare împotriva oficialilor de rang înalt ai guvernului argentinian, inclusiv a actualului președinte al Argentinei Cristina Elisabet Fernández de Kirchner .

Descoperirea malware-ului folosit de grupul Packrat a fost făcută atunci când Nisman a fost găsit mort în urma unei împușcături în apartamentul său din Buenos Aires, pe 18 ianuarie 2015. Laboratorul de criminalistică de la Poliția Metropolitană din Buenos Aires a examinat telefonul Android al lui Nisman și a găsit un fișier rău intenționat. denumit „' estrictamente secreto y confidencial.pdf.jar '', care se traduce prin '' strict secret și confidențial '' în engleză.

Ulterior, un fișier identic a fost încărcat într-o bază de date de viruși online din Argentina, dezvăluind că este AlienSpy, un set de instrumente de acces la distanță care oferă actorilor amenințărilor posibilitatea de a înregistra activitățile victimei, de a-și accesa camera web, e-mailul și Mai Mult. Fișierul a fost creat pentru Windows, ceea ce înseamnă că atacatorii ar fi putut să nu fi reușit în încercările lor de a pirata Nisman, care l-a deschis pe telefonul său Android.

După ce descoperirea de malware a fost făcută publică, alții s-au prezentat, spunând că și ei au fost vizați. Máximo Kirchner, fiul actualului președinte al Argentinei Cristina Elisabet Fernández de Kirchner și al fostului președinte argentinian Néstor Kirchner , a susținut că a fost vizat de același malware, oferind capturi de ecran ale unui e-mail pe care l-a primit de la cineva care uzurpa identitatea judecătorului argentinian Claudio Bonadio cu o adresă. claudiobonadio88@gmail.com .

E-mail primit de Máximo Kirchner. Sursa: ambito.com

O analiză inițială efectuată de Morgan Marquis-Boire de la Citizen Lab a arătat că malware-ul folosit împotriva lui Kircher, Lanata și Nisman a fost legat de un server de comandă și control (C2) numit deyrep24.ddns.net. Același domeniu deyrep24.ddns.net C2 s-a dovedit a fi folosit de alte trei mostre de malware, în urma unei inspecții ulterioare. Unul dintre eșantioane a fost un document rău intenționat numit „ 3 MAR PROYECTO GRIPEN.docx.jar ” și se presupune că conținea o comunicare între ambasadorul Ecuadorului în Suedia și președintele ecuadorian Rafael Correa cu privire la achiziția avioanelor de luptă.

Cercetătorii de la Citizen Lab au făcut cercetări suplimentare după ce au primit numeroase rapoarte de atacuri de phishing împotriva jurnaliştilor şi personalităţilor publice din Ecuador în 2015. Multe dintre e-mailurile şi SMS-urile rău intenţionate pe care le-au examinat nu aveau tematică politică, ci erau doar colectoare de acreditări pentru diferiţi furnizori de e-mail şi reţele sociale. mass-media. Cercetările ulterioare au dezvăluit că campania din Ecuador a inclus conținut în mod explicit politic, referitor la o mare varietate de probleme și figuri politice din țară, precum și crearea multor profiluri și organizații false.

Cercetătorii au descoperit o rețea vastă de interconexiune între malware și site-uri de phishing, folosită în campania extinsă din Ecuador. Malware-ul pe care l-au distribuit au fost în mare parte Java RAT, precum AlienSpy și Adzok. Multe dintre site-uri web au partajat informații de înregistrare, în timp ce mostrele de malware comunicau de obicei cu daynews.sytes.net, un domeniu care este, de asemenea, legat de cazurile din Argentina. Ancheta a mai scos la iveală site-uri false din Venezuela și infrastructură din Brazilia.

Infrastructura C2 a lui Packrat. Sursa: citizenlab.ca

Grupul de hacking Packrat are o infrastructură bine dezvoltată, care a rămas relativ sigură de câțiva ani. Campaniile la scară largă, costisitoare și bine lustruite desfășurate de grupul de hacking Packrat indică un actor sponsorizat de stat, care este bine finanțat și întreținut.

Packrat de capturi de ecran