Packrat

Hackerská skupina Packrat je pokročilá perzistentná hrozba (APT), ktorá vykonala niekoľko ďalekosiahlych operácií sústredených v Južnej Amerike – Argentíne, Brazílii a Ekvádore. Činnosť skupiny Packrat dosiahla svoj vrchol v roku 2015. Hrozba Packrat má tendenciu vykonávať operácie phishingu a krádeže údajov popri prieskumných kampaniach. Výskumníci v oblasti kybernetickej bezpečnosti zvolili tento názov pre túto hackerskú skupinu, pretože ich preferovaným nástrojom sú RAT (Trójske kone s vzdialeným prístupom). Zdá sa, že väčšina RAT používaných skupinou Packrat je to, čo sa často označuje ako malvér ako komodita. To znamená, že hackerské nástroje používané skupinou Packrat sú väčšinou zakúpené alebo prenajaté. Zdá sa, že herec Packrat sa špecializuje skôr na sociálne inžinierstvo než na vytváranie škodlivého softvéru od nuly.

Hackerská skupina Packrat je pravdepodobne veľmi skúsená v oblasti počítačovej kriminality. Ich kampane sú zložité a dobre prevedené. O tomto aktérovi hrozieb je známe, že vytvára falošné identity a celé podvodné spoločnosti a organizácie, aby svoje triky sociálneho inžinierstva čo najlepšie vypilovali. Niektorí experti na malvér sa domnievajú, že skupina Packrat môže byť sponzorovaná vládou. Dôvodom je skutočnosť, že cieľom aktéra hrozby Packrat sú často vysokopostavení politici, investigatívni novinári, mediálne organizácie a iné veľké záujmové spoločnosti. Okrem toho sa zdá, že údržba kampaní vykonávaných hackerskou skupinou Packrat je dosť nákladná – pravdepodobne v stovkách tisíc dolárov.

Skupina Packrat by šírila svoje hrozby prostredníctvom phishingových operácií. Tieto kampane by zahŕňali už spomínané falošné organizácie a identity vytvorené útočníkmi. Niektoré z cieľov skupiny Packrat by tiež boli phishing prostredníctvom textových správ. Medzi najčastejšie používané hrozby zo strany Packratovho herca patria Alien Spy , Adzok, Cybergate a Xtreme RAT . Phishingové kampane hackerskej skupiny Packrat by sa zamerali na prihlasovacie údaje pre obľúbené webové stránky a služby, ako sú Facebook, Twitter, Google a rôzne nástroje na odosielanie okamžitých správ. Aby zdokonalil svoju taktiku sociálneho inžinierstva, aktér hrozby Packrat tiež vytvorí falošné webové stránky, ktorých jediným účelom je dezinformácia, ktorá prispieva k ich komplikovaným nevýhodám.

Časová os udalostí

2008-2013

Nástroje a infraštruktúra velenia a riadenia, ktoré skupina Packrat používa, naznačujú, že aktívne fungovali už v roku 2008. Počas prvých piatich rokov fungovania skupiny využívali aktéri hrozieb hostingové služby umiestnené v Brazílii, pričom niektoré vzorky ich malvéru boli nahrané do online antivírusových služieb z brazílskych IP. Mnohé zo vzorových správ, ktoré skupina Packrat používala na návnadu obetí v tom období, boli plné brazílskeho obsahu sociálneho inžinierstva, čo naznačuje, že hackeri sa zamerali výlučne na najväčšiu juhoamerickú krajinu.

2014-2015

Po relatívne pokojnom období Packrat vstúpil do hlbokých vôd, keď sa zameral na známeho argentínskeho novinára a moderátora televíznych správ Jorgeho Lanatu a Alberta Nismana , významného argentínskeho právnika a federálneho prokurátora. Nisman mal údajne usvedčujúce dôkazy proti vysokým predstaviteľom argentínskej vlády, vrátane vtedajšej súčasnej argentínskej prezidentky Cristiny Elisabet Fernández de Kirchner .

Objav malvéru používaného skupinou Packrat bol urobený, keď bol Nisman nájdený mŕtvy po strelnej rane v jeho byte v Buenos Aires 18. januára 2015. Forenzné laboratórium v metropolitnej polícii v Buenos Aires preskúmalo Nismanov telefón s Androidom a našlo škodlivý súbor s názvom '' estrictamente secreto y confidencial.pdf.jar '', čo v angličtine znamená '' prísne tajné a dôverné ''.

Identický súbor bol neskôr nahraný do online vírusovej databázy z Argentíny, čo odhalilo, že ide o AlienSpy, súpravu nástrojov vzdialeného prístupu typu malware-as-a-service, ktorá umožňuje aktérom hrozieb zaznamenávať aktivity ich obetí, pristupovať k ich webovej kamere, e-mailu a viac. Súbor bol vytvorený pre Windows, čo znamená, že útočníci mohli byť neúspešní vo svojich pokusoch hacknúť Nismana, ktorý ho otvoril na svojom telefóne s Androidom.

Po zverejnení nálezu škodlivého softvéru sa ozvali ďalší s tým, že aj oni boli cieľom. Máximo Kirchner, syn vtedajšej súčasnej prezidentky Argentíny Cristiny Elisabet Fernández de Kirchner a bývalého argentínskeho prezidenta Néstora Kirchnera , tvrdil, že bol zameraný na rovnaký malvér, pričom poskytol snímky e-mailu, ktorý dostal od niekoho, kto sa vydával za argentínskeho sudcu Claudia Bonadia s adresou. claudiobonadio88@gmail.com .

E-mail dostal Máximo Kirchner. Zdroj: ambito.com

Počiatočná analýza Morgana Marquisa-Boira z Citizen Lab odhalila, že malvér použitý proti Kircherovi, Lanatovi a Nismanovi bol prepojený s príkazovým a riadiacim (C2) serverom s názvom deyrep24.ddns.net. Pri ďalšej kontrole sa zistilo, že rovnakú doménu C2 deyrep24.ddns.net používajú tri ďalšie vzorky škodlivého softvéru. Jednou zo vzoriek bol škodlivý dokument s názvom „ 3 MAR PROYECTO GRIPEN.docx.jar “ a údajne obsahoval komunikáciu medzi ekvádorským veľvyslancom vo Švédsku a ekvádorským prezidentom Rafaelom Correom vo veci akvizície bojových lietadiel.

Výskumníci z Citizen Lab vykonali ďalší výskum po tom, čo v roku 2015 dostali početné správy o phishingových útokoch proti novinárom a verejným činiteľom v Ekvádore. Mnohé zo škodlivých e-mailov a SMS, ktoré skúmali, nemali politickú tematiku, ale boli len zberačom poverení pre rôznych poskytovateľov e-mailov a sociálnych sietí. médiá. Ďalší výskum odhalil, že kampaň v Ekvádore zahŕňala výslovne politický obsah týkajúci sa širokého spektra politických otázok a osobností v krajine, ako aj vytváranie mnohých falošných profilov a organizácií.

Výskumníci odhalili rozsiahlu sieť prepojenia medzi malvérom a phishingovými stránkami, ktoré sa používali v rozsiahlej ekvádorskej kampani. Malvér, ktorý distribuovali, bol väčšinou Java RAT, ako AlienSpy a Adzok. Mnohé z webových stránok zdieľali registračné informácie, zatiaľ čo vzorky malvéru zvyčajne komunikovali s daynews.sytes.net, doménou, ktorá je tiež spojená s argentínskymi prípadmi. Vyšetrovanie odhalilo aj falošné stránky vo Venezuele a infraštruktúru v Brazílii.

Infraštruktúra C2 spoločnosti Packrat. Zdroj: citizenlab.ca

Hackerská skupina Packrat má dobre rozvinutú infraštruktúru, ktorá zostáva relatívne bezpečná už niekoľko rokov. Rozsiahle, nákladné a dobre prepracované kampane vedené hackerskou skupinou Packrat poukazujú na štátom sponzorovaného aktéra, ktorý je dobre financovaný a udržiavaný.

Packrat snímok obrazovky