Packrat

Le groupe de piratage Packrat est une menace persistante avancée (APT) qui a mené plusieurs opérations de grande envergure concentrées en Amérique du Sud – Argentine, Brésil et Équateur. L'activité du groupe Packrat a atteint son apogée en 2015. L'acteur de la menace Packrat a tendance à mener des opérations de phishing et de vol de données, parallèlement à des campagnes de reconnaissance. Les chercheurs en cybersécurité ont choisi ce nom pour ce groupe de piratage car leur outil préféré est les RAT (Remote Access Trojans). La plupart des RAT utilisés par le groupe Packrat semblent être ce que l'on appelle souvent des logiciels malveillants en tant que marchandises. Cela signifie que les outils de piratage utilisés par le groupe Packrat sont principalement achetés ou loués. L'acteur de Packrat semble se spécialiser dans l'ingénierie sociale plutôt que dans la création de logiciels malveillants à partir de zéro.

Le groupe de piratage Packrat est susceptible d'être très expérimenté dans le domaine de la cybercriminalité. Leurs campagnes sont complexes et bien exécutées. Cet acteur de la menace est connu pour créer de fausses identités et des entreprises et organisations frauduleuses entières pour rendre leurs astuces d'ingénierie sociale aussi raffinées que possible. Certains experts en logiciels malveillants pensent que le groupe Packrat pourrait être parrainé par le gouvernement. Cela est dû au fait que les cibles de l'acteur de la menace Packrat sont souvent des politiciens de haut rang, des journalistes d'investigation, des médias et d'autres grandes entreprises d'intérêt. De plus, il semblerait que les campagnes menées par le groupe de piratage Packrat soient plutôt coûteuses à entretenir – probablement des centaines de milliers de dollars.

Le groupe Packrat propagerait ses menaces via des opérations de phishing. Ces campagnes impliqueraient les fausses organisations et identités mentionnées précédemment mises en place par les attaquants. Certaines des cibles du groupe Packrat feraient également du phishing via SMS. Parmi les menaces les plus couramment utilisées par l'acteur menaçant Packrat figurent Alien Spy , Adzok, Cybergate et Xtreme RAT . Les campagnes de phishing du groupe de piratage Packrat cibleraient les identifiants de connexion pour les sites Web et services populaires tels que Facebook, Twitter, Google et divers utilitaires de messagerie instantanée. Pour perfectionner leurs tactiques d'ingénierie sociale, l'acteur de la menace Packrat créera également de fausses pages Web dont le seul but est la désinformation qui alimente leurs escroqueries élaborées.

Chronologie des événements

2008-2013

Les outils et l'infrastructure de commande et de contrôle utilisés par le groupe Packrat suggèrent qu'ils fonctionnaient activement dès 2008. Au cours des cinq premières années d'activité du groupe, les acteurs de la menace ont utilisé des services d'hébergement situés au Brésil, certains de leurs échantillons de logiciels malveillants étant téléchargés vers des services d'analyse antivirus en ligne à partir d'adresses IP brésiliennes. Bon nombre des exemples de messages que le groupe Packrat a utilisés pour appâter les victimes au cours de cette période étaient remplis de contenu d'ingénierie sociale brésilien, suggérant que les pirates avaient ciblé exclusivement le plus grand pays d'Amérique du Sud.

2014-2015

Après une période relativement calme, Packrat est entré en eaux profondes lorsqu'il a ciblé le célèbre journaliste argentin et animateur de télévision Jorge Lanata et Alberto Nisman , un avocat argentin de renom et procureur fédéral. Nisman aurait eu des preuves à charge contre des hauts fonctionnaires du gouvernement argentin, y compris l'actuelle présidente argentine Cristina Elisabet Fernández de Kirchner .

La découverte du logiciel malveillant utilisé par le groupe Packrat a eu lieu lorsque Nisman a été retrouvé mort d'une blessure par balle dans son appartement de Buenos Aires le 18 janvier 2015. Le laboratoire médico-légal de la police métropolitaine de Buenos Aires a examiné le téléphone Android de Nisman et a trouvé un fichier malveillant. nommé '' estrictamente secreto y confidencial.pdf.jar '', qui se traduit par '' strictement secret et confidentiel '' en anglais.

Un fichier identique a ensuite été téléchargé sur une base de données de virus en ligne depuis l'Argentine, révélant qu'il s'agissait d'AlienSpy, une boîte à outils d'accès à distance malveillante en tant que service qui donne aux pirates la possibilité d'enregistrer les activités de leurs victimes, d'accéder à leur webcam, à leurs e-mails et Suite. Le fichier a été créé pour Windows, ce qui signifie que les attaquants ont peut-être échoué dans leurs tentatives de pirater Nisman, qui l'a ouvert sur son téléphone Android.

Après que la découverte du logiciel malveillant ait été rendue publique, d'autres se sont manifestés, affirmant qu'ils avaient également été ciblés. Máximo Kirchner, le fils de l'actuelle présidente argentine Cristina Elisabet Fernández de Kirchner et de l'ancien président argentin Néstor Kirchner , a affirmé qu'il était la cible du même logiciel malveillant, fournissant des captures d'écran d'un e-mail qu'il a reçu d'une personne se faisant passer pour le juge argentin Claudio Bonadio avec une adresse. claudiobonadio88@gmail.com .

E-mail reçu par Máximo Kirchner. Source : ambito.com

Une première analyse par Morgan Marquis-Boire de Citizen Lab a révélé que le logiciel malveillant utilisé contre Kircher, Lanata et Nisman était lié à un serveur de commande et de contrôle (C2) nommé deyrep24.ddns.net. Le même domaine C2 deyrep24.ddns.net s'est avéré être utilisé par trois autres échantillons de logiciels malveillants après une inspection plus approfondie. L'un des échantillons était un document malveillant nommé '' 3 MAR PROYECTO GRIPEN.docx.jar '' et contenait supposément une communication entre l'ambassadeur de l'Équateur en Suède et le président équatorien Rafael Correa au sujet de l'acquisition d'avions de chasse.

Les chercheurs de Citizen Lab ont approfondi leurs recherches après avoir reçu de nombreux rapports d'attaques de phishing contre des journalistes et des personnalités publiques en Équateur en 2015. De nombreux e-mails et SMS malveillants qu'ils ont examinés n'avaient pas de thème politique, mais n'étaient que des collecteurs d'informations d'identification pour différents fournisseurs de messagerie et réseaux sociaux. médias. Des recherches plus approfondies ont révélé que la campagne en Équateur comprenait un contenu explicitement politique, concernant une grande variété de questions et de personnalités politiques dans le pays, ainsi que la création de nombreux faux profils et organisations.

Les chercheurs ont découvert un vaste réseau d'interconnexions entre les logiciels malveillants et les sites de phishing, utilisé dans la vaste campagne équatorienne. Les logiciels malveillants qu'ils ont distribués étaient principalement des RAT Java, comme AlienSpy et Adzok. De nombreux sites Web partageaient des informations d'enregistrement, tandis que les échantillons de logiciels malveillants communiquaient généralement avec daynews.sytes.net, un domaine également lié aux cas argentins. L'enquête a également révélé de faux sites au Venezuela et des infrastructures au Brésil.

L'infrastructure C2 de Packrat. Source : citizenlab.ca

Le groupe de piratage Packrat dispose d'une infrastructure bien développée qui est restée relativement sécurisée pendant plusieurs années. Les campagnes à grande échelle, coûteuses et bien polies menées par le groupe de piratage Packrat indiquent un acteur parrainé par l'État qui est bien financé et entretenu.

Packrat captures d'écran