FireEye zjistí, že kampaně cyberrespionage Gh0stRAT pokračují

Podle nové zprávy od bezpečnostní firmy FireEye je stále používán známý počítačový nástroj Gh0st RAT, který je zaměřen na detekci škodlivého softwaru. data, která shromáždila od stovek zákazníků v roce 2012. Podívala se na 12 milionů různých zpráv o podezřelých aktivitách, z nichž asi 2000 bylo klasifikováno jako "pokročilé hrozby" (APT), termín bezpečnostního průmyslu pro sofistikované a těžko odhalitelné útoky zaměřené na dlouhodobou infiltraci organizací

Většina z těchto 2 000 incidentů zaměstnávala Gh0st RAT, což je nástroj vzdáleného přístupu, o kterém se věří, že byl vyvinut v Číně, který umožňuje útočníkům ukrást i informace z počítačů oběti. V roce 2009 výzkumníci s informačním monitorováním války, výzkumným projektem v oblasti počítačové bezpečnosti a univerzitou v Torontu, informovali o rozsáhlé kampani proti počítačové špionáži s použitím nástroje Gh0st RAT, který se zaměřuje na více než 1000 počítačů v 103 zemích. malware z vašeho počítače se systémem Windows]

Gh0st RAT je "skutečnou důležitou součástí mnoha typů kampaní APT, protože je účinným nástrojem," uvedl Rob Rachwald, ředitel výzkumu trhu FireEye. jak útočníci získávají informace od obětí a kontrolují svůj malware na infikovaných počítačích nebo aktivitu "zpětného volání". Jejich údaje z roku 2012 ukazují, že útočníci používají servery příkazového a řídicího systému k předávání pokynů pro malware v 184 zemích, což je 42% nárůst oproti roku 2010.

Jižní Korea má soustředěnou aktivitu zpětného volání. Servery technologických firem mají tendenci být zaměřeny hackery na komunikaci s infikovanými počítači. "Myslím, že skutečnost, že jsou tradičně jedním z nejvíce propojených zemí na světě, je pravděpodobně dalším ovladačem pro to," řekl Rachwald.

Zpráva společnosti FireEye uvedla, že "v jistém smyslu je Jižní Korea postižena RAT přístupové nástroje]. Z údajů z roku 2012 je zřejmé, že Jižní Korea je jedním z hlavních cílů zpětného volání na světě a že některé z aktivit zpětného volání v zemi jsou spojeny s cílenějšími útoky. "

Hackeři také vkládali ukradené informace do obrázkových souborů JPEG aby data vypadala spíše jako normální provoz. Malware také použil stránky pro sociální sítě, jako je Twitter nebo Facebook, aby umístil pokyny pro infikované počítače, uvedla společnost FireEye.

Společnost zaznamenala další změny v chování hackerů. Servery příkazového a řídícího systému byly obvykle umístěny v jiné zemi než oběť. Nyní lokalizují infrastrukturu příkazů ve stejné zemi, aby se dopravní vzhled stal normálním.

Pro některé země se však hackeři neobtěžovali s řídícími servery v cílové zemi. Kanada a Velká Británie oba měly vysoké procento zpětného volání do zahraničí. Útočníci možná v těchto zemích neudělali, protože "věděli, že se nezjistí," řekl Rachwald.