Пацкрат

Хакерска група Пацкрат је напредна трајна претња (АПТ) која је извела неколико далекосежних операција концентрисаних у Јужној Америци – Аргентини, Бразилу и Еквадору. Активност групе Пацкрат достигла је врхунац још 2015. Актер претње Пацкрат има тенденцију да спроводи операције пхисхинга и крађе података, заједно са извиђачким кампањама. Истраживачи сајбер безбедности изабрали су ово име за ову хакерску групу јер је њихов омиљени алат РАТс (тројанци за даљински приступ). Чини се да је већина РАТ-ова које користи Пацкрат група оно што се често назива злонамерним софтвером као робом. То значи да се хакерски алати које користи група Пацкрат углавном купују или изнајмљују. Чини се да се глумац Пацкрат специјализовао за друштвени инжењеринг, а не за прављење малвера од нуле.

Хакерска група Пацкрат ће вероватно бити веома искусна у области сајбер криминала. Њихове кампање су сложене и добро изведене. Познато је да овај актер претњи ствара лажне идентитете и читаве лажне компаније и организације како би своје трикове социјалног инжењеринга учинили што је могуће углађенијим. Неки стручњаци за малвер верују да група Пацкрат може бити спонзорисана од стране владе. То је због чињенице да су мете претње из Пацкрата често високорангирани политичари, истраживачки новинари, медијске организације и друге велике компаније од интереса. Штавише, чини се да су кампање које спроводи Пацкрат хакерска група прилично скупе за одржавање – вероватно у стотинама хиљада долара.

Пацкрат група би пропагирала своје претње путем пхисхинг операција. Ове кампање би укључивале раније поменуте лажне организације и идентитете које су поставили нападачи. Неке од мета Пацкрат групе би биле и пхисхинг путем текстуалних порука. Међу најчешће коришћеним претњама које претећи глумац Пацкрат су Алиен Спи , Адзок, Цибергате и Кстреме РАТ . Кампање пхисхинг групе Пацкрат хакерске групе би циљале на акредитиве за пријаву на популарне веб странице и услуге као што су Фацебоок, Твитер, Гугл и разни услужни програми за размену тренутних порука. Да би усавршио своју тактику друштвеног инжењеринга, актер претње Пацкрат ће такође креирати лажне веб странице чија је једина сврха дезинформације које се улажу у њихове сложене недостатке.

Временска линија догађаја

2008-2013

Алати и инфраструктура команде и контроле које група Пацкрат користи сугерише да су они активно радили још 2008. Током првих пет година рада групе, актери претњи су користили услуге хостовања које се налазе у Бразилу, а неки од њихових узорака малвера су били отпремљено на интернетске услуге скенирања вируса са бразилских ИП адреса. Многи узорци порука које је група Пацкрат користила да мами жртве у том периоду били су испуњени бразилским садржајем друштвеног инжењеринга, што сугерише да су хакери циљали искључиво највећу јужноамеричку земљу.

2014-2015

После релативно мирног периода, Пацкрат је ушао у дубоке воде када је циљао на познатог аргентинског новинара и водитеља ТВ вести Хорхеа Ланату и Алберта Нисмана, аргентинског адвоката високог профила и савезног тужиоца. Нисман је наводно имао инкриминишуће доказе против високих званичника аргентинске владе, укључујући тадашњу председницу Аргентине Кристину Елисабет Фернандез де Киршнер .

Откриће злонамерног софтвера који користи група Пацкрат направљено је када је Нисман пронађен мртав од ране од ватреног оружја у свом стану у Буенос Ајресу 18. јануара 2015. Форензичка лабораторија при Метрополитан полицији Буенос Ајреса прегледала је Нисманов Андроид телефон и пронашла злонамерни фајл под називом '' естрицтаменте сецрето и цонфиденциал.пдф.јар '', што на енглеском значи '' строго тајно и поверљиво ''.

Идентична датотека је касније учитана у онлајн базу података о вирусима из Аргентине, откривајући да је то АлиенСпи, комплет алата за даљински приступ малвера као услуге који актерима претњи даје могућност да сниме активности своје жртве, приступе њиховој веб камери, е-пошти и више. Датотека је направљена за Виндовс, што значи да су нападачи можда били неуспешни у покушајима да хакују Нисмана, који ју је отворио на свом Андроид телефону.

Након што је налаз злонамерног софтвера објављен у јавности, јавили су се и други који су рекли да су и они били мета. Максимо Кирхнер, син тадашње садашње председнице Аргентине Кристине Елисабет Фернандез де Кирхнер и бившег аргентинског председника Нестора Кирхнера , тврдио је да је био на мети истог малвера, дајући снимке екрана е-поште коју је добио од некога ко се лажно представља као аргентински судија Клаудио Бонадио са адресом. цлаудиобонадио88@гмаил.цом .

[цаптион ид="аттацхмент_501190" алигн="алигнцентер" видтх="300"] Е-маил примио Макимо Кирцхнер. Извор: амбито.цом[/цаптион]

Иницијална анализа Моргана Маркуис-Боиреа из Цитизен Лаб-а открила је да је малвер коришћен против Кирцхера, Ланате и Нисмана повезан са сервером за команду и контролу (Ц2) под називом деиреп24.дднс.нет. Утврђено је да исти деиреп24.дднс.нет Ц2 домен користе још три узорка малвера након даље инспекције. Један од узорака био је злонамерни документ под називом „ 3 МАР ПРОИЕЦТО ГРИПЕН.доцк.јар “ и наводно је садржао комуникацију између амбасадора Еквадора у Шведској и еквадорског председника Рафаела Корее о питању набавке борбеног авиона.

Истраживачи из Цитизен Лаб-а обавили су даље истраживање након што су 2015. године примили бројне извештаје о фишинг нападима на новинаре и јавне личности у Еквадору. Многи од злонамерних мејлова и СМС-ова које су прегледали нису били политичке тематике, већ су били само сакупљачи акредитива за различите провајдере е-поште и друштвене мреже. медија. Даља истраживања су открила да је кампања у Еквадору укључивала експлицитно политички садржај, који се тиче широког спектра политичких питања и личности у земљи, као и стварање многих лажних профила и организација.

Истраживачи су открили огромну мрежу међусобне везе између малвера и пхисхинг сајтова, коришћених у опсежној кампањи у Еквадору. Малвер који су дистрибуирали углавном је био Јава РАТ, као што су АлиенСпи и Адзок. Многи веб-сајтови су делили информације о регистрацији, док су узорци малвера обично комуницирали са даиневс.ситес.нет, доменом који је такође повезан са аргентинским случајевима. Истрага је такође открила лажне локације у Венецуели и инфраструктуру у Бразилу.

[цаптион ид="аттацхмент_501254" алигн="алигнцентер" видтх="300"] Пацкратова Ц2 инфраструктура. Извор: цитизенлаб.ца[/цаптион]

Хакерска група Пацкрат има добро развијену инфраструктуру која је остала релативно безбедна неколико година. Обимне, скупе и добро углађене кампање које спроводи Пацкрат хакерска група указују на државно спонзорисаног актера који је добро финансиран и одржаван.

Пацкрат снимака екрана