Κρατικοί hackers (hackers που υποστηρίζονται από κάποια κυβέρνηση) χρησιμοποιούν μια σειρά εργαλείων για την πραγματοποίηση επιθέσεων σε παρόχους τηλεπικοινωνιών και IT εταιρείες στη Νότια Ασία.
Σύμφωνα με τους ερευνητές της Symantec, που εντόπισαν τη hacking ομάδα, στόχος των επιθέσεων είναι η συλλογή πληροφοριών μέσα από εξαιρετικά στοχευμένες εκστρατείες κατασκοπείας σε παρόχους τηλεπικοινωνιών, IT εταιρείες και κυβερνητικές οντότητες.
Δείτε επίσης: Πρώην αναλυτής της Microsoft: Το Office 365 φιλοξενούσε εν γνώσει του malware για χρόνια
Η ομάδα ονομάστηκε από τους ερευνητές Harvester. Οι ερευνητές δεν έχουν ξαναδεί τα εργαλεία που χρησιμοποιεί η ομάδα, το οποίο σημαίνει ότι πρόκειται για μια νέα ομάδα που δεν έχει σχέσεις με άλλους γνωστούς hackers.
Σύμφωνα με τη Symantec, η ομάδα Harvester χρησιμοποιεί στις επιθέσεις της custom malware αλλά και εργαλεία που βρίσκει κανείς δημόσια. Οι επιθέσεις ξεκίνησαν τον Ιούνιο του 2021 και οι πιο πρόσφατες δραστηριότητες εντοπίστηκαν τον Οκτώβριο του 2021. Όπως είπαμε και παραπάνω, οι συγκεκριμένοι κρατικοί hackers στοχεύουν κυρίως παρόχους τηλεπικοινωνιών, κυβερνητικές υπηρεσίες και IT εταιρείες.
Πώς καταλάβαν, όμως, οι ερευνητές ότι πρόκειται για ομάδα που υποστηρίζεται από κυβέρνηση (κρατική hacking ομάδα);
“Οι δυνατότητες των εργαλείων, το custom development και η επιλογή των θυμάτων, όλα υποδηλώνουν ότι η ομάδα Harvester είναι μια ομάδα που υποστηρίζεται από έθνος-κράτος“, λένε οι ερευνητές.
Δείτε επίσης: Huawei Cloud: Στόχος ενημερωμένου malware cryptomining
Μερικά από τα εργαλεία που χρησιμοποιεί η ομάδα Harvester στις επιθέσεις της:
- Backdoor.Graphon – custom backdoor που χρησιμοποιεί υποδομή της Microsoft για C&C activity
- Custom Downloader – χρησιμοποιεί την υποδομή της Microsoft για C&C activity
- Custom Screenshotter – καταγράφει screenshots σε ένα αρχείο
- Cobalt Strike Beacon – χρησιμοποιεί την υποδομή CloudFront για C&C activity (το Cobalt Strike είναι ένα off-the-shelf εργαλείο που μπορεί να χρησιμοποιηθεί για την εκτέλεση εντολών, την εισαγωγή άλλων διαδικασιών, τη μεταφόρτωση και λήψη αρχείων κ.ά.)
- Metasploit – ένα off-the-shelf modular framework που χρησιμοποιείται για διάφορες κακόβουλες δραστηριότητες: privilege escalation, screen capture, εγκατάσταση backdoor και πολλά άλλα.
Οι ερευνητές της Symantec δεν έχουν ακόμα ανακαλύψει πώς γίνεται η αρχική μόλυνση των μηχανημάτων των θυμάτων. Ωστόσο, υπάρχουν κάποιες ενδείξεις ότι μια κακόβουλη διεύθυνση URL χρησιμοποιείται για αυτόν τον σκοπό.
Δείτε επίσης: FontOnLake malware: Στοχεύει Linux συστήματα μέσω trojanized utilities
Έπειτα, με τη βοήθεια των παραπάνω εργαλείων, οι εγκληματίες του κυβερνοχώρου καταφέρνουν να κλέψουν σημαντικά δεδομένα από τα μηχανήματα στόχους.
Η Symantec προειδοποιεί ότι οι κρατικοί hackers Harvester εξακολουθούν να είναι ενεργοί στοχεύοντας κυρίως παρόχους τηλεπικοινωνιών και IT εταιρείες στο Αφγανιστάν (αυτή την περίοδο).
Παρόλο που οι ερευνητές μπόρεσαν να δοκιμάσουν τα εργαλεία της νέας ομάδας, δεν έχουν ακόμα αρκετά στοιχεία για να αποδώσουν τη hacking δραστηριότητα σε μια συγκεκριμένη κυβέρνηση.
Πηγή: Bleeping Computer