Μια ομάδα χάκερ, γνωστή από την κοινότητα της κυβερνοασφάλειας ότι υποστηρίζεται από πακιστανικές οντότητες, στοχεύει τώρα ινδικά εκπαιδευτικά ιδρύματα και φοιτητές σε μια νέα εκστρατεία κυβερνοκατασκοπείας, αποκάλυψε τελευταία έρευνα.
Η εξέλιξη έχει επιβεβαιωθεί από δύο κορυφαίες εταιρείες έρευνας στον κυβερνοχώρο, την K7 και τη Cisco Talos, σε ξεχωριστές ερευνητικές εκθέσεις που δημοσιεύθηκαν τους τελευταίους τρεις μήνες.
Η ομάδα χάκερ, γνωστή ως «Transparent Tribe», έχει ταξινομηθεί ως ομάδα προηγμένης επίμονης απειλής (APT) και είναι επίσης γνωστή με άλλα ψευδώνυμα όπως το APT36 και το Mythic Leopard.
Πολλαπλές αναφορές όλα αυτά τα χρόνια επιβεβαίωσαν ότι ο όμιλος εστιάζει σχεδόν αποκλειστικά στην Ινδία, με ιδιαίτερη έμφαση σε στόχους υψηλής αξίας όπως η άμυνα και άλλοι κυβερνητικοί τομείς.
Ο τρόπος λειτουργίας της Transperent Tribe
Σύμφωνα με το Cisco Talos και το K7, η Transparent Tribe κυκλοφορεί ένα έγγραφο MS Word, που δημιουργήθηκε στο όνομα ενός κορυφαίου τεχνολογικού ινστιτούτου στην Ινδία.
Η πρώτη σελίδα του εγγράφου έχει το επιστολόχαρτο του ινστιτούτου, ενώ η επόμενη σελίδα έχει μια σειρά ερωτήσεων ως μέρος μιας υποτιθέμενης έρευνας. Μόλις ανοίξει το έγγραφο από τον στόχο, του ζητά να «ενεργοποιήσουν το περιεχόμενο», ένα σύνηθες φαινόμενο με τα αρχεία MS Word που ανοίγουν σε οποιοδήποτε σύστημα για πρώτη φορά.
Δεδομένου ότι ο στόχος έχει παραπλανηθεί και πιστεύει ότι το έγγραφο είναι νόμιμο και ασφαλές, κάνει κλικ στην επιλογή «ενεργοποίηση περιεχομένου». Ως αποτέλεσμα, το κακόβουλο λογισμικό που κρύβεται στον κώδικα του εγγράφου εξάγεται και δημιουργεί σιωπηλά ένα σπίτι μέσα στη συσκευή του στόχου.
Τι λένε τα δημοσιεύματα;
Η αρχική ανάλυση του K7, που δημοσιεύθηκε τον Μάιο του τρέχοντος έτους, βασίστηκε σε ένα tweet ενός ερευνητή πληροφοριών απειλών, ο οποίος ονομάζεται Jazi στο Twitter. Ο Jazi φαίνεται ότι ήταν ο πρώτος που βρήκε δείγμα του κακόβουλου εγγράφου και επίσης αναγνώρισε τον διακομιστή Command and Control (C2).
Ένας διακομιστής C2 είναι ο διακομιστής που ελέγχει ένα κακόβουλο λογισμικό και λαμβάνει όλα τα δεδομένα που έχουν κλαπεί από αυτό. Αρκετά αναιδή, ο διακομιστής C2 σε αυτήν την περίπτωση ονομάζεται «sunnyleone».
Μια δεύτερη, πιο λεπτομερής ανάλυση της καμπάνιας από τη Cisco Talos, τα ευρήματα της οποίας δημοσιοποιήθηκαν νωρίτερα αυτή την εβδομάδα, επιβεβαίωσε την προηγούμενη υποψία του K7 ότι η Transparent Tribe χρησιμοποιούσε κακόβουλο λογισμικό CrimsonRAT για να μολύνει τις συσκευές-στόχους.
Ένας RAT ή ένας Trojan απομακρυσμένης πρόσβασης είναι κακόβουλο λογισμικό που γλιστρά σε ένα σύστημα μεταμφιεσμένο ως κάτι άλλο και στη συνέχεια εκχωρεί απομακρυσμένη πρόσβαση στη συσκευή στον διακομιστή C2.
Η τελευταία έκδοση του CrimsonRAT μπορεί να καταγράψει πατήματα πλήκτρων στη συσκευή προορισμού, να κλέψει αρχεία εικόνας, να τραβήξει στιγμιότυπα οθόνης της τρέχουσας οθόνης και να εκτελεί αυθαίρετες εντολές στο σύστημα.
Η Cisco Talos εντόπισε επίσης τον τομέα από τον οποίο στάλθηκαν μηνύματα ηλεκτρονικού ψαρέματος που περιείχαν το κακόβουλο έγγραφο και επιβεβαίωσε ότι φιλοξενείται από μια υπηρεσία φιλοξενίας τομέα στο Πακιστάν.
«Συνήθως, αυτή η ομάδα APT εστιάζει στη στόχευση κυβερνητικών (κυβερνητικών υπαλλήλων, στρατιωτικού προσωπικού) και ψευδοκυβερνητικών οντοτήτων (δεξαμενές σκέψης, συνέδρια κ.λπ.) χρησιμοποιώντας Trojans απομακρυσμένης πρόσβασης (RAT) όπως οι CrimsonRAT και ObliqueRAT. Ωστόσο, σε αυτή τη νέα καμπάνια που χρονολογείται από τον Δεκέμβριο του 2021, ο αντίπαλος στοχεύει φοιτητές πανεπιστημίων και κολεγίων στην Ινδία. Αυτή η νέα καμπάνια υποδηλώνει επίσης ότι η APT επεκτείνει ενεργά το δίκτυο των θυμάτων της για να συμπεριλάβει και άμαχους χρήστες», δήλωσε η Cisco Talos στην ερευνητική της έκθεση.