FireEye pronalazi kampanje cyberespionage za Gh0stRAT

Znanstveno sredstvo za špijuniranje zvani Gh0st RAT još se uvijek koristi u nepristranim napadima zlonamjernih programa, prema novom izvješću tvrtke FireEye.

FireEye, specijalizirana za otkrivanje zlonamjernog softvera podatke koje je prikupio od svojih stotina kupaca tijekom 2012. godine. Pogledalo je 12 milijuna različitih izvješća o sumnjivoj aktivnosti, od kojih je oko 2.000 klasificirano kao "napredne uporni prijetnje" (APT), pojam sigurnosne industrije za sofisticiranim, teško otkrivanim napada koji su usmjereni na dugoročnu infiltraciju organizacija.

Većina tih 2000 incidenata koristila je Gh0st RAT, alat za udaljeni pristup za koji se vjeruje da je razvijen u Kini koji dopušta da napadači ukrade i informacije s računala žrtve. U 2009, istraživači sa Information Warfare Monitorom, istraživački projekt za računalnu sigurnost i Sveučilište u Torontu objavili su opsežnu kampanju špijunaže putem interneta pomoću Gh0st RAT-a koji ciljaju više od 1.000 računala u 103 zemlje.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Gh0st RAT je "pravi važan dio mnogih vrsta APT kampanja jer je to djelotvoran alat", rekao je Rob Rachwald, viši direktor istraživanja tržišta FireEye.

FireEyeovo izvješće uglavnom gleda kako napadači izdvajaju informacije od žrtava i kontroliraju zlonamjerni softver na zaraženim računalima ili aktivnost "povratnog poziva". Njihovi podaci iz 2012. godine pokazuju da napadači koriste poslužitelje za naredbu i kontrolu kako bi uputili upute za zlonamjerni softver u zemljama 184 sada, 42 posto više nego 2010.

Južna Koreja ima koncentraciju aktivnosti povratnog poziva. Poslužitelji tehnoloških tvrtki obično ciljaju hakeri da komuniciraju sa svojim zaraženim strojevima. "Mislim da je činjenica da su tradicionalno jedna od najcitvorenijih nacija na svijetu vjerojatno još jedan poticaj za ovo", rekao je Rachwald.

FireEye je izjavio da "u nekom smislu, Južna Koreja je udario RAT [daljinskim pristupni alati]. Jasno je iz podataka iz 2012. da je Južna Koreja jedna od najboljih odredišta za povratne pozive na svijetu i da su neke od aktivnosti povratnih poziva zemlje povezane s ciljanijim napadima. "

Hakeri su također ukopali ukradene informacije u JPEG slikovne datoteke kako bi podaci izgledali više poput uobičajenog prometa. Zlonamjerni softver koristi i društvena mrežna mjesta kao što su Twitter i Facebook za postavljanje uputa za zaražene strojeve, rekao je FireEye.

Tvrtka je primijetila i druge promjene u ponašanju hakera. Obično su poslužitelji za naredbu i nadzor bili locirani u drugoj zemlji od žrtve. Sada zauzimaju zapovjednu infrastrukturu u istoj zemlji kako bi promet izgledao normalan. Međutim, za neke zemlje, hakeri se nisu zamarali kontrolnim poslužiteljima u zemlji cilja. U Kanadi i Ujedinjenom Kraljevstvu oba su imala visoke postotke povratnog prometa u inozemstvu. Napadnici možda to nisu učinili u tim zemljama jer su "znali da neće biti otkriveni", rekao je Rachwald.