FireEye wyszukuje kampanie hiperpionage Gh0stRAT

Zgodnie z nowym raportem firmy ochroniarskiej FireEye, znane jest dobrze znane narzędzie cyberprzestępcze o nazwie Gh0st RAT, zgodnie z nowym raportem firmy ochroniarskiej FireEye.

FireEye, specjalizujący się w wykrywaniu złośliwego oprogramowania, wydany dane zebrane od setek klientów w 2012 r. Przeanalizowano 12 milionów różnych zgłoszeń podejrzanej aktywności, z których około 2000 zostało sklasyfikowanych jako "zaawansowane trwałe zagrożenia" (APT), termin branżowy branży bezpieczeństwa dla wyrafinowanego, trudnego do wykrycia ataki mające na celu długotrwałą infiltrację organizacji.

Większość z tych 2000 incydentów wykorzystała Gh0st RAT, narzędzie do zdalnego dostępu, które prawdopodobnie zostało opracowane w Chinach, które pozwala atakującym na kradzież. nformacje z komputerów ofiary. W 2009 r. Naukowcy z Information Warfare Monitor, projektem badawczym dotyczącym bezpieczeństwa komputerowego i University of Toronto poinformowali o szeroko zakrojonej kampanii szpiegowskiej wykorzystującej Gh0st RAT, która dotyczyła ponad 1000 komputerów w 103 krajach.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Gh0st RAT to "prawdziwa ważna część wielu rodzajów kampanii APT, ponieważ jest to skuteczne narzędzie" - powiedział Rob Rachwald, starszy dyrektor ds. badań rynku w FireEye.

Raport FireEye szeroko analizuje w jaki sposób osoby atakujące wyodrębniają informacje od ofiar i kontrolują swoje złośliwe oprogramowanie na zainfekowanych komputerach lub działanie "oddzwaniania". Ich dane z 2012 roku pokazują, że atakujący używają serwerów sterujących i kontrolujących do dostarczania instrukcji dla szkodliwego oprogramowania w 184 krajach, co stanowi wzrost o 42 procent w stosunku do roku 2010.

Korea Południowa ma koncentrację aktywności wywołania zwrotnego. Serwery firm technologicznych są zwykle atakowane przez hakerów na zainfekowane komputery. "Myślę, że fakt, że tradycyjnie byli jednym z najbardziej połączonych krajów na świecie, jest prawdopodobnie kolejnym czynnikiem napędzającym to" - powiedział Rachwald.

Raport FireEye powiedział "w pewnym sensie, Korea Południowa jest nękana przez RAT [zdalne narzędzia dostępu]. Z danych z 2012 roku jasno wynika, że ​​Korea Południowa jest jednym z najlepszych miejsc docelowych połączeń zwrotnych na świecie i że niektóre z krajowych działań związanych z oddzwanianiem są związane z bardziej ukierunkowanymi atakami. "

Hakerzy wstawiali również skradzione informacje do plików graficznych JPEG w aby dane wyglądały bardziej jak zwykły ruch. Złośliwe oprogramowanie wykorzystało także serwisy społecznościowe, takie jak Twitter i Facebook, do umieszczania instrukcji dotyczących zainfekowanych komputerów, powiedział FireEye.

Firma zauważyła inne zmiany w zachowaniu hakerów. Zwykle serwery kontroli i kontroli znajdowały się w innym kraju niż ofiara. Teraz lokalizują infrastrukturę dowodzenia w tym samym kraju, aby ruch wyglądał normalnie.

Ale w niektórych krajach hakerzy nie zawracali sobie głowy serwerami kontrolnymi w kraju docelowym. W Kanadzie i Wielkiej Brytanii odnotowano wysoki odsetek wizyt wywoławczych wysyłanych za granicę. Napastnicy być może nie robili tego w tych krajach, ponieważ "wiedzieli, że nie zostaną wykryci", powiedział Rachwald.