Packrat

Grupi i hakerëve Packrat është një Kërcënim i Përparuar i Përparuar (APT) që ka kryer disa operacione të gjera të përqendruara në Amerikën e Jugut - Argjentinë, Brazil dhe Ekuador. Aktiviteti i grupit Packrat arriti kulmin e tij në vitin 2015. Aktori i kërcënimit të Packrat tenton të kryejë operacione phishing dhe vjedhje të të dhënave, krahas fushatave të zbulimit. Studiuesit e sigurisë kibernetike kanë zgjedhur këtë emër për këtë grup hakerimi pasi mjeti i tyre i preferuar është RATs (Trojanët e Qasjes në Remote). Shumica e RAT-ve të përdorura nga grupi Packrat duket se janë ato që shpesh referohen si malware-si-mall. Kjo do të thotë që mjetet e hakerimit të përdorura nga grupi Packrat blihen ose merren me qira kryesisht. Aktori i Packrat duket se është i specializuar në inxhinieri sociale në vend që të ndërtojë malware nga e para.

Grupi i hakerëve Packrat ka të ngjarë të ketë shumë përvojë në fushën e krimit kibernetik. Fushatat e tyre janë komplekse dhe të realizuara mirë. Ky aktor i kërcënimit është i njohur për krijimin e identiteteve të rreme dhe kompanive dhe organizatave të tëra mashtruese për t'i bërë truket e tyre të inxhinierisë sociale sa më të lëmuara të jetë e mundur. Disa ekspertë të malware besojnë se grupi Packrat mund të jetë i sponsorizuar nga qeveria. Kjo për faktin se objektivat e aktorit të kërcënimit të Packrat janë shpesh politikanë të rangut të lartë, gazetarë investigativë, organizata mediatike dhe kompani të tjera të mëdha me interes. Për më tepër, duket se fushatat e kryera nga grupi i hakerëve Packrat janë mjaft të kushtueshme për t'u mirëmbajtur – me gjasë në qindra mijëra dollarë.

Grupi Packrat do të përhapte kërcënimet e tyre nëpërmjet operacioneve të phishing. Këto fushata do të përfshinin organizatat dhe identitetet e rreme të përmendura më parë të krijuara nga sulmuesit. Disa nga objektivat e grupit Packrat do të ishin edhe phishing përmes mesazheve me tekst. Ndër kërcënimet më të përdorura nga ana e packrat kërcënuar aktorin janë Alien Spy , Adzok, Cybergate dhe Xtreme RAT . Fushatat e phishing të grupit të hakerëve Packrat do të synonin kredencialet e hyrjes për faqet e internetit dhe shërbimet e njohura si Facebook, Twitter, Google dhe shërbime të ndryshme të mesazheve të çastit. Për të përsosur taktikat e tyre të inxhinierisë sociale, aktori i kërcënimit të Packrat gjithashtu do të krijojë faqe interneti false, qëllimi i vetëm i të cilave është dezinformimi që ushqehet me disavantazhet e tyre të hollësishme.

Afati kohor i ngjarjeve

2008-2013

Mjetet dhe infrastruktura komanduese dhe e kontrollit që përdor grupi Packrat sugjerojnë se ata ishin duke funksionuar në mënyrë aktive që në vitin 2008. Gjatë pesë viteve të para të funksionimit të grupit, aktorët e kërcënimit përdorën shërbimet e pritjes të vendosura në Brazil, me disa nga mostrat e tyre të malware ngarkuar në shërbimet e skanimit të viruseve në internet nga IP-të braziliane. Shumë nga mostrat e mesazheve që grupi Packrat përdori për të karremin e viktimave në atë periudhë ishin të mbushura me përmbajtje inxhinierike sociale braziliane, duke sugjeruar se hakerët kishin synuar ekskluzivisht vendin më të madh të Amerikës së Jugut.

2014-2015

Pas një periudhe relativisht pa ngjarje, Packrat hyri në ujëra të thella kur synoi gazetarin e njohur argjentinas dhe prezantuesin e lajmeve televizive Jorge Lanata dhe Alberto Nisman , një avokat i profilit të lartë argjentinas dhe prokuror federal. Nisman supozohet se kishte prova inkriminuese kundër zyrtarëve të rangut të lartë të qeverisë argjentinase, duke përfshirë Presidenten e atëhershme të Argjentinës Cristina Elisabet Fernández de Kirchner .

Zbulimi i malware i përdorur nga grupi Packrat u bë kur Nisman u gjet i vdekur nga një plagë me armë zjarri në banesën e tij në Buenos Aires më 18 janar 2015. Laboratori mjekoligjor në Policinë Metropolitane të Buenos Aires ekzaminoi telefonin Android të Nisman dhe gjeti një skedar keqdashës i quajtur '' estritamente secreto y confidencial.pdf.jar '', që përkthehet në " rreptësisht sekret dhe konfidencial " në anglisht.

Një skedar identik u ngarkua më vonë në një bazë të dhënash të viruseve në internet nga Argjentina, duke zbuluar se ai ishte AlienSpy, një paketë veglash për qasje në distancë të malware-si-shërbim që u jep aktorëve të kërcënimit mundësinë për të regjistruar aktivitetet e viktimës së tyre, për të hyrë në kamerën e tyre të internetit, emailin dhe më shumë. Skedari është ndërtuar për Windows, që do të thotë se sulmuesit mund të kenë qenë të pasuksesshëm në përpjekjet e tyre për të hakuar Nisman, i cili e hapi atë në telefonin e tij Android.

Pasi zbulimi i malware u bë publik, të tjerë dolën përpara, duke thënë se edhe ata kishin qenë në shënjestër. Máximo Kirchner, djali i Presidentes së atëhershme të Argjentinës Cristina Elisabet Fernández de Kirchner dhe ish-presidentit argjentinas Néstor Kirchner , pretendoi se ai ishte në shënjestër nga i njëjti malware, duke ofruar pamje të ekranit të një emaili që mori nga dikush që imitonte gjyqtarin argjentinas Claudio Bonadio me një adresë claudiobonadio88@gmail.com .

Email i marrë nga Máximo Kirchner. Burimi: ambito.com

Një analizë fillestare nga Morgan Marquis-Boire e Citizen Lab zbuloi se malware i përdorur kundër Kircher, Lanata dhe Nisman ishte i lidhur me një server komandimi dhe kontrolli (C2) të quajtur deyrep24.ddns.net. I njëjti domen C2 deyrep24.ddns.net u zbulua se përdorej nga tre mostra të tjera malware pas inspektimit të mëtejshëm. Një nga mostrat ishte një dokument keqdashës i quajtur '' 3 MAR PROYECTO GRIPEN.docx.jar '' dhe supozohej se përmbante komunikim midis ambasadorit të Ekuadorit në Suedi dhe Presidentit ekuadorian Rafael Correa për çështjen e blerjes së avionëve luftarakë.

Studiuesit nga Citizen Lab bënë kërkime të mëtejshme pasi morën raporte të shumta për sulme phishing kundër gazetarëve dhe figurave publike në Ekuador në vitin 2015. Shumë nga emailet dhe SMS-të me qëllim të keq që ata ekzaminuan nuk ishin me tematikë politike, por ishin thjesht grumbullues kredencialesh për ofrues të ndryshëm email dhe social media. Hulumtimi i mëtejshëm zbuloi se fushata në Ekuador përfshinte përmbajtje të qartë politike, në lidhje me një shumëllojshmëri të gjerë çështjesh dhe figurash politike në vend, si dhe krijimin e shumë profileve dhe organizatave të rreme.

Studiuesit zbuluan një rrjet të gjerë ndërlidhjesh midis malware dhe faqeve të phishing, të përdorura në fushatën e gjerë ekuadoriane. Malware që ata shpërndanë ishin kryesisht Java RAT, si AlienSpy dhe Adzok. Shumë nga faqet e internetit ndanë informacionin e regjistrimit, ndërsa mostrat e malware zakonisht komunikonin me daynews.sytes.net, një domen që është gjithashtu i lidhur me rastet argjentinase. Hetimi zbuloi gjithashtu faqe të rreme në Venezuelë dhe infrastrukturë në Brazil.

Infrastruktura C2 e Packrat. Burimi: qytetarlab.ca

Grupi i hakerëve Packrat ka një infrastrukturë të zhvilluar mirë që ka mbetur relativisht e sigurt për disa vite. Fushatat në shkallë të gjerë, të kushtueshme dhe të lëmuara mirë të kryera nga grupi i hakerëve Packrat tregojnë për një aktor të sponsorizuar nga shteti, i cili financohet dhe mirëmbahet mirë.

Packrat pamje nga ekrani