Οι ερευνητές έχουν μοιραστεί νέες λεπτομέρειες σχετικά με ένα backdoor που βασίζεται στο PowerShell και χρησιμοποιείται από την Project Raven hacking ομάδα. Έχουν διαπιστώσει ότι το κακόβουλο λογισμικό μοιράζεται ισχυρές ομοιότητες με το backdoor Win32 / StealthFalcon που δημιουργήθηκε από την Stealth Falcon hacking ομάδα.
Ποια είναι τα νέα ευρήματα;
Σύμφωνα με τα τελευταία ευρήματα της ESET, το κακόβουλο λογισμικό φαίνεται να είναι το έργο μιας κυβερνητικής ομάδας κατασκοπείας που χρηματοδοτείται από το κράτος και ονομάζεται Project Raven.
Τόσο το Win32 / StealthFalcon όσο και το ανώνυμο backdoor με βάση το PowerShell μοιράζονται τον ίδιο διακομιστή C2. Επιπλέον, εντοπίστηκαν σημαντικές ομοιότητες στον κώδικα, αν και είναι γραμμένα σε διαφορετικές γλώσσες.
«Και τα δύο χρησιμοποιούν αναγνωριστικά με hardcoded key (κατά πάσα πιθανότητα campaign ID/target ID). Και στις δύο περιπτώσεις, όλες οι επικοινωνίες δικτύου από τον παραβιασμένο κεντρικό υπολογιστή προστίθενται με αυτά τα αναγνωριστικά και κρυπτογραφούνται με RC4 χρησιμοποιώντας ένα hardcoded key», πρόσθεσαν ερευνητές.
Η hacking ομάδα Stealth Falcon είναι ενεργή από το 2012 και στοχεύει περισσότερο τους κατοίκους των Ηνωμένων Αραβικών Εμιράτων.
Σχετικά με το Win32 / StealthFalcon
Το Win32 / StealthFaclon, το οποίο φαίνεται να έχει δημιουργηθεί το 2015, μπορεί να επιτρέψει στους επιτιθέμενους να ελέγξουν εξ αποστάσεως τον παραβιασμένο υπολογιστή. Το κακόβουλο λογισμικό έχει στοχεύσει χρήστες στα ΗΑΕ, τη Σαουδική Αραβία, την Ταϊλάνδη και τις Κάτω Χώρες.
Κατά τη διάρκεια της επικοινωνίας του με το διακομιστή C2, το κακόβουλο λογισμικό χρησιμοποιεί την υπηρεσία Windows Background Intelligent Transfer Service (BITS) για την μεταφορά μεγάλου όγκου δεδομένων.
Το BITS περιλαμβάνει αξιέπαινες δυνατότητες που το καθιστούν δημοφιλές σε σχέση με την παραδοσιακή επικοινωνία μέσω λειτουργιών API.
«Το BITS σχεδιάστηκε για να μεταφέρει μεγάλα ποσά δεδομένων χωρίς να καταναλώνει μεγάλο εύρος ζώνης δικτύου, το οποίο επιτυγχάνει στέλνοντας τα δεδομένα με ρυθμό μετάδοσης έτσι ώστε να μην επηρεάζει τις ανάγκες άλλων εφαρμογών. Χρησιμοποιείται συνήθως από updaters, messengers και άλλες εφαρμογές που έχουν σχεδιαστεί για να λειτουργούν στο παρασκήνιο.»
Ποιες είναι οι δυνατότητες;
Το Win32 / StealthFalcon, εάν εκτελείται σε ένα σύστημα, είναι ικανό να προγραμματίζεται ως task που εκτελείται σε κάθε χρήστη σύνδεσης. Εκτός αυτού, μπορεί να απομακρύνει δεδομένα, να χρησιμοποιεί άλλα κακόβουλα εργαλεία και να ενημερώνει τη διαμόρφωσή του.
