Packrat

Hekerska skupina Packrat je napredna obstojna grožnja (APT), ki je izvedla več daljnosežnih operacij, skoncentriranih v Južni Ameriki – Argentini, Braziliji in Ekvadorju. Dejavnost skupine Packrat je dosegla vrhunec leta 2015. Grožnja Packrat se nagiba k izvajanju lažnega predstavljanja in kraje podatkov, poleg izvidniških akcij. Raziskovalci kibernetske varnosti so izbrali to ime za to hekersko skupino, saj so njihovo prednostno orodje RAT (trojanci za oddaljeni dostop). Zdi se, da je večina RAT-jev, ki jih uporablja skupina Packrat, tisto, kar pogosto imenujemo zlonamerna programska oprema kot blago. To pomeni, da se hekerska orodja, ki jih uporablja skupina Packrat, večinoma kupujejo ali najemajo. Zdi se, da je igralec Packrat specializiran za družbeni inženiring in ne za gradnjo zlonamerne programske opreme iz nič.

Hekerska skupina Packrat bo verjetno zelo izkušena na področju kibernetskega kriminala. Njihove kampanje so zapletene in dobro izvedene. Znano je, da ta akter groženj ustvarja lažne identitete in cela goljufiva podjetja in organizacije, da bi svoje trike socialnega inženiringa čim bolj izpopolnili. Nekateri strokovnjaki za zlonamerno programsko opremo menijo, da je skupina Packrat morda sponzorirana. To je posledica dejstva, da so tarče akterja grožnje Packrat pogosto visoki politiki, raziskovalni novinarji, medijske organizacije in druga velika podjetja, ki jih zanimajo. Poleg tega se zdi, da so kampanje, ki jih izvaja hekerska skupina Packrat, precej drage za vzdrževanje – verjetno v stotine tisoč dolarjev.

Skupina Packrat bi svoje grožnje širila z lažnim predstavljanjem. Te kampanje bi vključevale prej omenjene lažne organizacije in identitete, ki so jih ustanovili napadalci. Nekateri cilji skupine Packrat bi lažno predstavljali tudi prek besedilnih sporočil. Med najpogosteje uporabljenimi grožnjami, ki jih grozi igralec Packrat, so Alien Spy , Adzok, Cybergate in Xtreme RAT . Kampanje lažnega predstavljanja hekerske skupine Packrat bi bile usmerjene na poverilnice za prijavo za priljubljena spletna mesta in storitve, kot so Facebook, Twitter, Google in različni pripomočki za takojšnje sporočanje. Da bi izpopolnil svojo taktiko socialnega inženiringa, bo akter grožnje Packrat ustvaril tudi lažne spletne strani, katerih edini namen so dezinformacije, ki se nanašajo na njihove dovršene slabosti.

Časovnica dogodkov

2008-2013

Orodja ter infrastruktura za poveljevanje in nadzor, ki jih uporablja skupina Packrat, kažejo, da so aktivno delovali že leta 2008. V prvih petih letih delovanja skupine so akterji grožnje uporabljali storitve gostovanja v Braziliji, pri čemer so bili nekateri njihovi vzorci zlonamerne programske opreme naloženo v spletne storitve za iskanje virusov z brazilskih IP-jev. Številna vzorčna sporočila, ki jih je skupina Packrat uporabljala za vabo žrtev v tistem obdobju, so bila polna brazilske vsebine socialnega inženiringa, kar kaže, da so hekerji ciljali izključno na največjo južnoameriško državo.

2014-2015

Po razmeroma brezpredmetnem obdobju je Packrat zašel v globoke vode, ko je ciljal na znanega argentinskega novinarja in televizijskega voditelja Jorgeja Lanato in Alberta Nismana, uglednega argentinskega odvetnika in zveznega tožilca. Nisman naj bi imel obremenilne dokaze proti visokim uradnikom argentinske vlade, vključno s takratno sedanjo argentinsko predsednico Cristino Elisabet Fernández de Kirchner .

Odkritje zlonamerne programske opreme, ki jo uporablja skupina Packrat, je bilo storjeno, ko so Nismana našli mrtvega zaradi strelne rane v njegovem stanovanju v Buenos Airesu 18. januarja 2015. Forenzični laboratorij pri Metropolitanski policiji Buenos Airesa je pregledal Nismanov telefon Android in našel zlonamerno datoteko. imenovano '' estrictamente secreto y confidencial.pdf.jar '', kar v angleščini pomeni '' strogo tajno in zaupno ''.

Identična datoteka je bila pozneje naložena v spletno zbirko virusov iz Argentine in razkrila, da gre za AlienSpy, komplet orodij za oddaljeni dostop z zlonamerno programsko opremo kot storitev, ki akterjem grožnje omogoča, da snemajo dejavnosti svoje žrtve, dostopajo do njihove spletne kamere, e-pošte in več. Datoteka je bila zgrajena za Windows, kar pomeni, da napadalci morda niso bili uspešni pri svojih poskusih vdora v Nismana, ki jo je odprl na svojem telefonu Android.

Po objavi zlonamerne programske opreme so se oglasili drugi, ki so rekli, da so bili tudi oni tarča. Máximo Kirchner, sin takratne sedanje argentinske predsednice Cristine Elisabet Fernández de Kirchner in nekdanjega argentinskega predsednika Néstorja Kirchnerja , je trdil, da je bil tarča iste zlonamerne programske opreme, pri čemer je posredoval posnetke zaslona e-pošte, ki jo je prejel od nekoga, ki se predstavlja kot argentinski sodnik Claudio Bonadio z naslovom. claudiobonadio88@gmail.com .

E-poštno sporočilo prejel Máximo Kirchner. Vir: ambito.com

Začetna analiza Morgana Marquis-Boirea iz Citizen Laba je pokazala, da je bila zlonamerna programska oprema, uporabljena proti Kircherju, Lanati in Nismanu, povezana s strežnikom za upravljanje in nadzor (C2) z imenom deyrep24.ddns.net. Po nadaljnjem pregledu je bilo ugotovljeno, da isto domeno C2 deyrep24.ddns.net uporabljajo še trije drugi vzorci zlonamerne programske opreme. Eden od vzorcev je bil zlonamerni dokument z imenom '' 3 MAR PROYECTO GRIPEN.docx.jar '' in naj bi vseboval komunikacijo med veleposlanikom Ekvadorja na Švedskem in ekvadorskim predsednikom Rafaelom Correo o zadevi nakupa lovskega letala.

Raziskovalci iz Citizen Laba so opravili nadaljnje raziskave, potem ko so leta 2015 prejeli številna poročila o napadih z lažnim predstavljanjem na novinarje in javne osebnosti v Ekvadorju. Številna zlonamerna e-poštna sporočila in sporočila SMS, ki so jih preučili, niso bila politično obarvana, ampak so bila le zbiralnik poverilnic za različne ponudnike e-pošte in družbena omrežja. medijev. Nadaljnje raziskave so pokazale, da je kampanja v Ekvadorju vključevala eksplicitno politično vsebino, ki zadeva najrazličnejša politična vprašanja in osebnosti v državi, pa tudi ustvarjanje številnih lažnih profilov in organizacij.

Raziskovalci so odkrili obsežno mrežo medsebojnih povezav med zlonamerno programsko opremo in spletnimi mesti z lažnim predstavljanjem, ki so jih uporabljali v obsežni ekvadorski kampanji. Zlonamerna programska oprema, ki so jo distribuirali, je bila večinoma Java RAT, kot sta AlienSpy in Adzok. Številna spletna mesta so delila podatke o registraciji, medtem ko so vzorci zlonamerne programske opreme običajno komunicirali z daynews.sytes.net, domeno, ki je povezana tudi z argentinskimi primeri. Preiskava je odkrila tudi lažna spletna mesta v Venezueli in infrastrukturo v Braziliji.

Packratova infrastruktura C2. Vir: citizenlab.ca

Hekerska skupina Packrat ima dobro razvito infrastrukturo, ki je že nekaj let relativno varna. Obsežne, drage in dobro izbrušene kampanje, ki jih izvaja hekerska skupina Packrat, kažejo na akterja, ki ga sponzorira država, ki je dobro financiran in vzdrževan.

Packrat posnetkov zaslona