Packrat

Packrat-hackningsgruppen är ett Advanced Persistent Threat (APT) som har genomfört flera långtgående operationer koncentrerade till Sydamerika – Argentina, Brasilien och Ecuador. Packrat-gruppens aktivitet nådde sin topp redan 2015. Packrat-hotaktören tenderar att utföra nätfiske och datastölder, tillsammans med spaningskampanjer. Cybersäkerhetsforskare har valt detta namn för den här hackningsgruppen eftersom deras föredragna verktyg är RAT (Remote Access Trojans). De flesta av de RAT som används av Packrat-gruppen verkar vara vad som ofta kallas malware-as-a-commodity. Detta innebär att hackningsverktygen som används av Packrat-gruppen köps eller hyrs mestadels. Packrat-skådespelaren verkar specialisera sig på social ingenjörskonst snarare än att bygga skadlig programvara från grunden.

Packrat-hackargruppen kommer sannolikt att ha mycket erfarenhet av cyberbrottslighet. Deras kampanjer är komplexa och väl genomförda. Denna hotaktör är känd för att skapa falska identiteter och hela bedrägliga företag och organisationer för att göra sina sociala ingenjörsknep så polerade som möjligt. Vissa experter på skadlig programvara tror att Packrat-gruppen kan vara statligt sponsrad. Detta beror på att måltavlan för Packrat-hotaktören ofta är högt uppsatta politiker, undersökande journalister, medieorganisationer och andra stora företag av intresse. Dessutom verkar det som om kampanjerna som genomförs av Packrat-hackinggruppen är ganska dyra att underhålla – troligen i hundratusentals dollar.

Packrat-gruppen skulle sprida sina hot via nätfiske. Dessa kampanjer skulle involvera de tidigare nämnda falska organisationerna och identiteterna som upprättats av angriparna. Några av målen för Packrat-gruppen skulle också vara nätfiske via textmeddelanden. Bland de mest använda hoten av Packrat- hotskådespelaren är Alien Spy , Adzok, Cybergate och Xtreme RAT . Nätfiskekampanjerna från Packrat-hackargruppen skulle inrikta sig på inloggningsuppgifter för populära webbplatser och tjänster som Facebook, Twitter, Google och olika verktyg för snabbmeddelanden. För att fullända sin sociala ingenjörstaktik kommer Packrat-hotaktören också att skapa falska webbsidor vars enda syfte är desinformation som matas in i deras utarbetade nackdelar.

Tidslinje för händelser

2008-2013

Verktygen och infrastrukturen för ledning och kontroll som Packrat-gruppen använder tyder på att de var aktivt verksamma redan 2008. Under de första fem åren av gruppens verksamhet använde hotaktörerna värdtjänster i Brasilien, med några av deras prover av skadlig programvara var laddas upp till online-virusskanningstjänster från brasilianska IP-adresser. Många av de exempelmeddelanden som Packrat-gruppen använde för att locka offer under den perioden var fyllda med brasilianskt socialt ingenjörsinnehåll, vilket tyder på att hackarna uteslutande hade riktat sig mot det största sydamerikanska landet.

2014-2015

Efter en relativt händelselös period gick Packrat in på djupa vatten när det riktade sig mot den välkända argentinske journalisten och TV-nyhetsvärden Jorge Lanata och Alberto Nisman , en högprofilerad argentinsk advokat och federal åklagare. Nisman ska ha haft belastande bevis mot högt uppsatta tjänstemän i den argentinska regeringen, inklusive den dåvarande argentinska presidenten Cristina Elisabet Fernández de Kirchner .

Upptäckten av skadlig programvara som användes av Packrat-gruppen gjordes när Nisman hittades död efter en skottskada i sin lägenhet i Buenos Aires den 18 januari 2015. Rättsmedicinska labbet vid Buenos Aires Metropolitan Police undersökte Nismans Android-telefon och hittade en skadlig fil heter '' estrictamente secreto y confidencial.pdf.jar '', vilket översätts till '' strikt hemligt och konfidentiellt '' på engelska.

En identisk fil laddades senare upp till en online-virusdatabas från Argentina, vilket avslöjade att det var AlienSpy, en malware-as-a-service fjärråtkomstverktygslåda som ger hotaktörer möjligheten att spela in sina offers aktiviteter, komma åt deras webbkamera, e-post och Mer. Filen byggdes för Windows, vilket betyder att angriparna kan ha misslyckats i sina försök att hacka Nisman, som öppnade den på sin Android-telefon.

Efter att upptäckten av skadlig programvara offentliggjordes trädde andra fram och sa att de också hade blivit måltavla. Máximo Kirchner, son till Argentinas dåvarande president Cristina Elisabet Fernández de Kirchner och den tidigare argentinske presidenten Néstor Kirchner , hävdade att han var måltavla av samma skadliga program, och gav skärmdumpar av ett e-postmeddelande som han fick från någon som utger sig för att vara den argentinske domaren Claudio Bonadio med en adress claudiobonadio88@gmail.com .

E-post mottaget av Máximo Kirchner. Källa: ambito.com

En första analys av Morgan Marquis-Boire från Citizen Lab avslöjade att skadlig programvara som användes mot Kircher, Lanata och Nisman var kopplad till en kommando- och kontrollserver (C2) vid namn deyrep24.ddns.net. Samma deyrep24.ddns.net C2-domän visade sig användas av tre andra skadlig programvara vid ytterligare inspektion. Ett av proverna var ett skadligt dokument med namnet '' 3 MAR PROYECTO GRIPEN.docx.jar '' och ska innehålla kommunikation mellan Ecuadors ambassadör i Sverige och Ecuadors president Rafael Correa i frågan om anskaffning av stridsflygplan.

Forskare från Citizen Lab gjorde ytterligare efterforskningar efter att ha fått flera rapporter om nätfiskeattacker mot journalister och offentliga personer i Ecuador 2015. Många av de skadliga e-postmeddelanden och SMS som de undersökte var inte politiska tema utan var bara referensskördare för olika e-postleverantörer och sociala medier media. Ytterligare forskning avslöjade att kampanjen i Ecuador inkluderade explicit politiskt innehåll, rörande en mängd olika politiska frågor och figurer i landet, såväl som skapandet av många falska profiler och organisationer.

Forskarna upptäckte ett stort nät av sammankoppling mellan skadlig programvara och nätfiskewebbplatser, som användes i den omfattande ecuadorianska kampanjen. Skadlig programvara de distribuerade var mestadels Java RAT, som AlienSpy och Adzok. Många av webbplatserna delade registreringsinformation, medan proverna av skadlig programvara vanligtvis kommunicerade med daynews.sytes.net, en domän som också är kopplad till de argentinska fallen. Undersökningen avslöjade också falska sajter i Venezuela och infrastruktur i Brasilien.

Packrats C2-infrastruktur. Källa: citizenlab.ca

Packrat-hackinggruppen har en välutvecklad infrastruktur som har varit relativt säker i flera år. De storskaliga, kostsamma och välpolerade kampanjerna som Packrats hackergrupp genomförde pekar på en statligt sponsrad aktör som är välfinansierad och underhållen.

Packrat skärmdumpar