Packrat

Хакерська група Packrat є розширеною стійкою загрозою (APT), яка здійснила кілька далекосяжних операцій, зосереджених у Південній Америці – Аргентині, Бразилії та Еквадорі. Діяльність групи Packrat досягла свого піку ще в 2015 році. Злочинець Packrat, як правило, здійснює фішинг і крадіжку даних, а також розвідувальні кампанії. Дослідники з кібербезпеки обрали цю назву для цієї хакерської групи, оскільки їхнім улюбленим інструментом є RAT (трояни віддаленого доступу). Більшість RAT, які використовуються групою Packrat, є тим, що часто називають шкідливим програмним забезпеченням як товаром. Це означає, що хакерські інструменти, які використовує група Packrat, купуються або орендуються переважно. Здається, актор Packrat спеціалізується на соціальній інженерії, а не на створенні шкідливих програм з нуля.

Хакерська група Packrat, ймовірно, має великий досвід у сфері кіберзлочинності. Їхні кампанії складні та добре проведені. Відомо, що цей загрозливий актор створює фальшиві особисті дані та цілі шахрайські компанії та організації, щоб зробити свої трюки соціальної інженерії максимально відшліфованими. Деякі експерти зі шкідливого програмного забезпечення вважають, що група Packrat може підтримуватися урядом. Це пов’язано з тим, що об’єктами загрози Packrat часто є високопоставлені політики, журналісти-розслідувачі, медіа-організації та інші великі компанії, що представляють інтерес. Крім того, здається, що кампанії хакерської групи Packrat є досить дорогими в обслуговуванні – ймовірно, в сотні тисяч доларів.

Група Packrat буде поширювати свої загрози за допомогою фішингових операцій. Ці кампанії будуть включати раніше згадані підроблені організації та ідентифікатори, створені зловмисниками. Деякі з цілей групи Packrat також будуть фішингувати через текстові повідомлення. Серед загроз, які найчастіше використовуються актором Packrat, є Alien Spy , Adzok, Cybergate і Xtreme RAT . Фішингові кампанії хакерської групи Packrat будуть спрямовані на облікові дані для входу на популярні веб-сайти та сервіси, такі як Facebook, Twitter, Google та різні утиліти для обміну миттєвими повідомленнями. Щоб удосконалити свою тактику соціальної інженерії, актор загроз Packrat також створить фіктивні веб-сторінки, єдиною метою яких є дезінформація, яка вплине на їх складні недоліки.

Хронологія подій

2008-2013 роки

Інструменти та інфраструктура управління та управління, які використовує група Packrat, свідчать про те, що вони активно діяли ще в 2008 році. Протягом перших п’яти років діяльності групи загрози використовували послуги хостингу, розташовані в Бразилії, причому деякі з їхніх зразків шкідливого програмного забезпечення були завантажено в онлайн-сервіси сканування вірусів з бразильських IP-адрес. Багато зразків повідомлень, які група Packrat використовувала для приманки жертв у той період, були наповнені контентом бразильської соціальної інженерії, що свідчить про те, що хакери націлені виключно на найбільшу південноамериканську країну.

2014-2015 роки

Після відносно спокійного періоду, Packrat увійшов у глибокі води, коли націлився на відомого аргентинського журналіста та ведучого телевізійних новин Хорхе Ланата та Альберто Нісмана , високопоставленого аргентинського юриста та федерального прокурора. У Нісмана імовірно були викривальні докази проти високопоставлених чиновників аргентинського уряду, включаючи тодішнього президента Аргентини Крістіни Елізабет Фернандес де Кіршнер .

Виявлення зловмисного програмного забезпечення, яке використовується групою Packrat, було зроблено, коли Нісмана знайшли мертвим від вогнепального поранення в його квартирі в Буенос-Айресі 18 січня 2015 року. Криміналістична лабораторія столичної поліції Буенос-Айреса дослідила телефон Nisman Android і знайшла шкідливий файл. під назвою '' estrictamente secreto y confidencial.pdf.jar '', що перекладається як '' строго таємно та конфіденційно '' англійською.

Пізніше ідентичний файл був завантажений в онлайн-вірусну базу даних з Аргентини, з’ясувавши, що це AlienSpy, набір інструментів віддаленого доступу зі зловмисним програмним забезпеченням як послуга, який дає суб’єктам загрози можливість записувати дії своєї жертви, отримати доступ до їх веб-камери, електронної пошти та більше. Файл був створений для Windows, а це означає, що зловмисники могли бути невдалими в спробах зламати Nisman, який відкрив його на своєму телефоні Android.

Після того, як знахідку зловмисного програмного забезпечення було оприлюднено, інші виступили, заявивши, що вони також були мішенню. Максимо Кіршнер, син тодішнього президента Аргентини Крістіни Елізабет Фернандес де Кіршнер і колишнього президента Аргентини Нестора Кіршнера , стверджував, що він був мішенню того ж шкідливого програмного забезпечення, надавши скріншоти електронного листа, який він отримав від когось, що видає себе за аргентинського суддю Клаудіо Бонадіо, з адресою. claudiobonadio88@gmail.com .

Електронний лист отримав Максимо Кіршнер. Джерело: ambito.com

Початковий аналіз, проведений Морганом Маркісом-Буаром з Citizen Lab, показав, що шкідливе програмне забезпечення, яке використовується проти Кірхера, Ланати та Нісмана, було пов’язане із сервером командування та керування (C2) під назвою deyrep24.ddns.net. Під час подальшої перевірки було виявлено, що той самий домен C2 deyrep24.ddns.net використовується трьома іншими зразками шкідливих програм. Одним із зразків був зловмисний документ під назвою « 3 MAR PROYECTO GRIPEN.docx.jar », який імовірно містив повідомлення між послом Еквадору в Швеції та президентом Еквадору Рафаелем Корреа щодо придбання винищувача.

Дослідники з Citizen Lab провели подальші дослідження після отримання численних повідомлень про фішингові атаки на журналістів і громадських діячів в Еквадорі в 2015 році. Багато зловмисних електронних листів і SMS, які вони перевірили, були не політичною тематикою, а були лише джерелами облікових даних для різних постачальників електронної пошти та соціальних ЗМІ. Подальше дослідження показало, що кампанія в Еквадорі включала відверто політичний вміст, що стосувалося широкого кола політичних питань і діячів у країні, а також створення багатьох фейкових профілів та організацій.

Дослідники виявили величезну мережу взаємозв’язків між шкідливим програмним забезпеченням і фішинговими сайтами, які використовувалися в масштабній кампанії в Еквадорі. Зловмисне програмне забезпечення, яке вони розповсюджували, було переважно Java RAT, як-от AlienSpy і Adzok. Багато веб-сайтів ділилися реєстраційною інформацією, тоді як зразки зловмисного програмного забезпечення зазвичай зв’язувалися з daynews.sytes.net, доменом, який також пов’язаний з аргентинськими справами. Розслідування також виявило фейкові сайти у Венесуелі та інфраструктуру в Бразилії.

Інфраструктура C2 Packrat. Джерело: citizenlab.ca

Хакерська група Packrat має добре розвинену інфраструктуру, яка залишалася відносно безпечною протягом кількох років. Масштабні, дорогі та добре відшліфовані кампанії, проведені хакерською групою Packrat, вказують на спонсорованого державою актора, який добре фінансується та підтримується.

Packrat скріншотів