GovRAT, η πλατφόρμα malware-signing-as-a-service στην υπόγεια αγορά
Ειδικοί ασφαλείας της InfoArmor ανακάλυψαν το GονRΑΤ, μια πλατφόρμα malware-signing-as-a-service που προσφέρεται στα APT groups της υπόγειας αγοράς.
Στο παρελθόν, σε διάφορα άρθρα μας, έχουμε εξηγήσει γιατί τα digital certificates είναι τόσο ελκυστικά για τους εγκληματίες και τις υπηρεσίες πληροφοριών, με μια από τις πιο ενδιαφέρουσες χρήσεις τους που είναι η signature του malware code με σκοπό να ξεγελάσει το antivirus. Φυσικά τα digital certificates γίνονται ολοένα και περισσότερο ένα πολύτιμο αγαθό στο υπόγειο οικοσύστημα, και οι μαύρες αγορές ξεκίνησαν να γίνονται όλο και πιο κερδοφόρες.
Μερικές βδομάδες πριν, οι ειδικοί της IBM Security X-Force παρατήρησαν την προσφορά certificates στο Dark Web με ένα μοντέλο πωλήσεων που ονομάζεται CaaS (Certificates as a service). Οι Cyber criminals χρησιμοποιουν το Dark Web για να πουλήσουν high-grade code certificates –τα οποία απέκτησαν από έμπιστες certificate authorities- σε οποιονδήποτε φυσικά ενδιαφέρεται να τα αγοράσει.
Η πώληση των code signing certificates έχει αυξηθεί σημαντικά τους τελευταίους μήνες, μια τάση που επιβεβαιώνεται επίσης από μια πρόσφατη ανάλυση που διεξήχθη από την εταιρεία threat intelligence, ΙnfoArmor.
To GονRΑΤ είναι μια hacking πλατφόρμα που επιτρέπει την δημιουργία malware, κι έρχεται πακέτο με digital certificates για code signing. Τα ίδια ψηφιακά πιστοποιητικά αρχικά προσφέρονταν προς πώληση στην μαύρη αγορά ‘TheRealDeal Market’ που φιλοξενείται στο Tor network. Το GονRΑΤ προσφέρεται προς πώληση για 1.25 Bitcoin, αλλά οι ειδικοί παρατήρησαν πως ο δημιουργός του τώρα το προσφέρει μόνο ιδιωτικά.
Το GονRΑΤ tool υπογράφει ψηφιακά τον malicious code με code-signing tools όπως είναι τα Microsoft SignTool, WinTrust, και Authenticode technology. Οι ειδικοί θεωρούν πως οι τελικοί καταναλωτές που επιθυμούν να αγοράσουν το GονRΑΤ είναι τα APT groups που στοχεύουν πολιτικούς, διπλωματικούς, και στρατιωτικούς εργαζόμενους – στόχους περισσότερων από 15 κυβερνήσεων ανά την υφήλιο.
Η εταιρεία InfoArmor ανάφερε επίσης επτά τράπεζες, μερικές εκ των οποίων βρίσκονται στις ΗΠΑ, και 30 υπουργεία άμυνας που έχουν στοχοποιηθεί από το GονRΑΤ . Εκτιμάται πως περισσότεροι από 100 οργανισμοί έχουν χτυπηθεί από malware που δημιουργήθηκε με την πλατφόρμα GονRΑΤ από τις αρχές του 2014.
