Η FireEye βρίσκει τις καμπάνιες του κυβερνοεπιχειρησιακού κινήματος Gh0stRAT

Ένα πολύ γνωστό εργαλείο για την κατασκοπεία που ονομάζεται Gh0st RAT εξακολουθεί να χρησιμοποιείται σε μυστικές επιθέσεις κακόβουλου λογισμικού, σύμφωνα με νέα έκθεση της εταιρίας ασφαλείας FireEye

FireEye, η οποία ειδικεύεται στην ανίχνευση κακόβουλου λογισμικού στοιχεία που συγκέντρωσε από εκατοντάδες πελάτες της κατά το 2012. Εξετάστηκαν 12 εκατομμύρια διαφορετικές αναφορές ύποπτης δραστηριότητας, περίπου 2.000 από τις οποίες χαρακτηρίστηκαν ως "προχωρημένες απειλές" (APTs), ο όρος της βιομηχανίας ασφάλειας για εξελιγμένα, δύσκολο να εντοπιστεί επιθέσεις που αποσκοπούσαν στη μακροπρόθεσμη διείσδυση των οργανισμών

Τα περισσότερα από τα 2,000 περιστατικά χρησιμοποίησαν το Gh0st RAT, ένα εργαλείο απομακρυσμένης πρόσβασης που πιστεύεται ότι αναπτύχθηκε στην Κίνα και επιτρέπει στους εισβολείς να κλέψουν πληροφορίες από τους υπολογιστές του θύματος. Το 2009, οι ερευνητές με το Information Warfare Monitor, ένα ερευνητικό έργο στον τομέα της ασφάλειας υπολογιστών, και το Πανεπιστήμιο του Τορόντο ανέφεραν μια εκτεταμένη εκστρατεία για την κατασκοπεία στον κυβερνοχώρο χρησιμοποιώντας το Gh0st RAT που στοχεύει σε περισσότερους από 1.000 υπολογιστές σε 103 χώρες

[Περαιτέρω ανάγνωση: malware από τον υπολογιστή σας Windows]

Το Gh0st RAT είναι ένα "πραγματικό σημαντικό μέρος πολλών τύπων καμπανιών APT επειδή είναι ένα αποτελεσματικό εργαλείο", δήλωσε ο Rob Rachwald, ανώτερος διευθυντής έρευνας αγοράς της FireEye. πώς οι εισβολείς εξαγάγουν πληροφορίες από τα θύματα και ελέγχουν το κακόβουλο λογισμικό τους σε μολυσμένους υπολογιστές ή τη δραστηριότητα "callback". Τα δεδομένα τους από το 2012 δείχνουν ότι οι επιτιθέμενοι χρησιμοποιούν διακομιστές εντολών και ελέγχου για την παράδοση εντολών σε κακόβουλο λογισμικό σε 184 χώρες, σημειώνοντας αύξηση 42% σε σχέση με το 2010.

Η Νότια Κορέα έχει συγκέντρωση δραστηριότητας επανάκλησης. Οι διακομιστές εταιρειών τεχνολογίας τείνουν να στοχεύουν οι χάκερ να επικοινωνούν με τις μολυσμένες μηχανές τους. "Νομίζω ότι το γεγονός ότι παραδοσιακά είναι ένα από τα πιο συνδεδεμένα έθνη στον κόσμο είναι πιθανώς ένας άλλος οδηγός γι 'αυτό", ανέφερε ο Rachwald.

Η έκθεση FireEye ανέφερε ότι «κατά κάποιο τρόπο η Νότια Κορέα μαστίζεται από τα RATs εργαλεία πρόσβασης]. Είναι σαφές από τα στοιχεία του 2012 ότι η Νότια Κορέα είναι ένας από τους κορυφαίους προορισμούς ανάκλησης στον κόσμο και ότι ορισμένες από τις δραστηριότητες ανάκλησης της χώρας συνδέονται με πιο στοχευμένες επιθέσεις ».

Οι εισβολείς εισήγαγαν επίσης κλεμμένα στοιχεία σε αρχεία εικόνων JPEG ώστε τα δεδομένα να μοιάζουν περισσότερο με την κανονική κίνηση. Το κακόβουλο λογισμικό χρησιμοποίησε επίσης ιστότοπους κοινωνικής δικτύωσης όπως το Twitter και το Facebook για να τοποθετήσουν οδηγίες για μολυσμένα μηχανήματα, δήλωσε ο FireEye.

Η εταιρεία διαπίστωσε άλλες αλλαγές στη συμπεριφορά των χάκερ. Συνήθως, οι διακομιστές εντολών και ελέγχου εντοπίστηκαν σε διαφορετική χώρα από το θύμα. Τώρα εντοπίζουν την υποδομή εντολών στην ίδια χώρα για να κάνουν την εμφάνιση της κίνησης φυσιολογική.

Ωστόσο, για κάποιες χώρες, οι χάκερ δεν ασχολούνταν με τους διακομιστές ελέγχου σε μια χώρα στόχου. Ο Καναδάς και το Ηνωμένο Βασίλειο είχαν και τα δύο υψηλά ποσοστά επισκεψιμότητας ανάκλησης στο εξωτερικό. Οι επιτιθέμενοι ίσως δεν το έκαναν σε αυτές τις χώρες επειδή "ήξεραν ότι δεν θα εντοπίζονταν", δήλωσε ο Rachwald