Packrat

Die Packrat-Hacking-Gruppe ist eine Advanced Persistent Threat (APT), die mehrere weitreichende Operationen durchgeführt hat, die sich auf Südamerika – Argentinien, Brasilien und Ecuador – konzentrieren. Die Aktivitäten der Packrat-Gruppe erreichten bereits 2015 ihren Höhepunkt. Der Packrat-Bedrohungsakteur führt neben Aufklärungskampagnen auch Phishing- und Datendiebstahl-Operationen durch. Cybersicherheitsforscher haben diesen Namen für diese Hackergruppe gewählt, da ihr bevorzugtes Werkzeug RATs (Remote Access Trojans) sind. Die meisten der von der Packrat-Gruppe verwendeten RATs scheinen das zu sein, was oft als Malware-as-a-Commodity bezeichnet wird. Das bedeutet, dass die von der Packrat-Gruppe verwendeten Hacking-Tools meist gekauft oder gemietet werden. Der Packrat-Akteur scheint sich auf Social Engineering zu spezialisieren, anstatt Malware von Grund auf neu zu erstellen.

Die Hackergruppe Packrat dürfte im Bereich Cybercrime sehr erfahren sein. Ihre Kampagnen sind komplex und gut ausgeführt. Dieser Bedrohungsakteur ist dafür bekannt, gefälschte Identitäten und ganze betrügerische Unternehmen und Organisationen zu erstellen, um ihre Social-Engineering-Tricks so ausgefeilt wie möglich zu machen. Einige Malware-Experten glauben, dass die Packrat-Gruppe möglicherweise von der Regierung gefördert wird. Dies liegt daran, dass die Ziele des Packrat-Bedrohungsakteurs häufig hochrangige Politiker, investigative Journalisten, Medienorganisationen und andere große Unternehmen von Interesse sind. Darüber hinaus scheint es, dass die von der Packrat-Hackergruppe durchgeführten Kampagnen ziemlich kostspielig zu unterhalten sind – wahrscheinlich in Höhe von Hunderttausenden von Dollar.

Die Packrat-Gruppe würde ihre Bedrohungen über Phishing-Operationen verbreiten. Diese Kampagnen würden die zuvor erwähnten gefälschten Organisationen und Identitäten beinhalten, die von den Angreifern eingerichtet wurden. Einige der Ziele der Packrat-Gruppe wären auch Phishing über Textnachrichten. Zu den am häufigsten verwendeten Bedrohungen des Packrat-Bedrohungsakteurs gehören Alien Spy, Adzok, Cybergate und Xtreme RAT. Die Phishing-Kampagnen der Packrat-Hacking-Gruppe zielten auf Anmeldeinformationen für beliebte Websites und Dienste wie Facebook, Twitter, Google und verschiedene Instant-Messaging-Dienstprogramme ab. Um ihre Social-Engineering-Taktiken zu perfektionieren, wird der Packrat-Bedrohungsakteur auch gefälschte Webseiten erstellen, deren einziger Zweck die Desinformation ist, die in ihre ausgeklügelten Betrügereien einfließt.

Zeitleiste der Ereignisse

2008-2013

Die Tools und die Befehls- und Kontrollinfrastruktur, die die Packrat-Gruppe verwendet, deuten darauf hin, dass sie bereits 2008 aktiv tätig waren. In den ersten fünf Jahren der Tätigkeit der Gruppe nutzten die Bedrohungsakteure Hosting-Dienste in Brasilien, wobei einige ihrer Malware-Samples verwendet wurden von brasilianischen IPs zu Online-Virenscandiensten hochgeladen. Viele der Beispielnachrichten, mit denen die Packrat-Gruppe Opfer in dieser Zeit köderte, waren mit brasilianischen Social-Engineering-Inhalten gefüllt, was darauf hindeutete, dass die Hacker ausschließlich das größte südamerikanische Land ins Visier genommen hatten.

2014-2015

Nach einer relativ ereignislosen Zeit betrat Packrat tiefe Gewässer, als es den bekannten argentinischen Journalisten und Fernsehnachrichtenmoderator Jorge Lanata und Alberto Nisman, einen hochkarätigen argentinischen Anwalt und Bundesstaatsanwalt, ins Visier nahm. Nisman hatte angeblich belastende Beweise gegen hochrangige Beamte der argentinischen Regierung, darunter die damalige argentinische Präsidentin Cristina Elisabet Fernández de Kirchner.

Die Entdeckung der von der Packrat-Gruppe verwendeten Malware erfolgte, als Nisman am 18. Januar 2015 tot mit einer Schusswunde in seiner Wohnung in Buenos Aires aufgefunden wurde. Das forensische Labor der Metropolitan Police von Buenos Aires untersuchte Nismans Android-Telefon und fand eine bösartige Datei mit dem Namen „ estrictamente secreto y vertraulich.pdf.jar “, was auf Deutch „ streng geheim und vertraulich “ bedeutet.

Eine identische Datei wurde später in eine Online-Virendatenbank aus Argentinien hochgeladen und entpuppte sich als AlienSpy, ein Malware-as-a-Service-Fernzugriffs-Toolkit, das Angreifern die Möglichkeit gibt, die Aktivitäten ihres Opfers aufzuzeichnen, auf dessen Webcam, E-Mail usw. zuzugreifen. Die Datei wurde für Windows erstellt, was bedeutet, dass die Angreifer möglicherweise erfolglos versucht haben, Nisman zu hacken, der sie auf seinem Android-Telefon geöffnet hat.

Nachdem der Malware-Fund veröffentlicht worden war, meldeten sich andere und sagten, dass sie ebenfalls ins Visier genommen worden seien. Máximo Kirchner, der Sohn der damaligen argentinischen Präsidentin Cristina Elisabet Fernández de Kirchner und des ehemaligen argentinischen Präsidenten Néstor Kirchner, behauptete, dass er von derselben Malware angegriffen wurde, und lieferte Screenshots einer E-Mail, die er von jemandem erhalten hatte, der sich als argentinischer Richter Claudio Bonadio mit einer Adresse  claudiobonadio88@gmail.com ausgab.

E-Mail erhalten von Máximo Kirchner. Quelle: ambito.com

Eine erste Analyse von Morgan Marquis-Boire von Citizen Lab ergab, dass die gegen Kircher, Lanata und Nisman eingesetzte Malware mit einem Command-and-Control-Server (C2) namens deyrep24.ddns.net verbunden war. Dieselbe deyrep24.ddns.net C2-Domain wurde bei weiterer Untersuchung von drei anderen Malware-Samples verwendet. Eines der Samples war ein bösartiges Dokument mit dem Namen „ 3 MAR PROYECTO GRIPEN.docx.jar “, das angeblich eine Kommunikation zwischen dem ecuadorianischen Botschafter in Schweden und dem ecuadorianischen Präsidenten Rafael Correa über den Erwerb von Kampfflugzeugen enthielt.

Forscher von Citizen Lab haben weitere Nachforschungen angestellt, nachdem sie 2015 zahlreiche Berichte über Phishing-Angriffe auf Journalisten und Persönlichkeiten des öffentlichen Lebens in Ecuador erhalten hatten. Viele der von ihnen untersuchten schädlichen E-Mails und SMS hatten keinen politischen Hintergrund, sondern dienten nur zum Sammeln von Anmeldeinformationen für verschiedene E-Mail-Anbieter und soziale Netzwerke und Medien. Weitere Recherchen ergaben, dass die Kampagne in Ecuador explizit politische Inhalte zu einer Vielzahl politischer Themen und Persönlichkeiten im Land sowie die Erstellung vieler gefälschter Profile und Organisationen enthielt.

Die Forscher entdeckten ein riesiges Verbindungsnetz zwischen Malware und Phishing-Sites, das in der umfangreichen ecuadorianischen Kampagne verwendet wurde. Die von ihnen verbreitete Malware bestand hauptsächlich aus Java-RATs wie AlienSpy und Adzok. Viele der Websites teilten Registrierungsinformationen, während die Malware-Samples normalerweise mit daynews.sytes.net kommunizierten, einer Domain, die auch mit den argentinischen Fällen verknüpft ist. Die Untersuchung deckte auch gefälschte Websites in Venezuela und Infrastruktur in Brasilien auf.

C2-Infrastruktur von Packrat. Quelle: citizenlab.ca

Die Hacking-Gruppe Packrat verfügt über eine gut ausgebaute Infrastruktur, die seit mehreren Jahren relativ sicher ist. Die groß angelegten, kostspieligen und ausgefeilten Kampagnen der Packrat-Hackergruppe weisen auf einen staatlich geförderten Akteur hin, der gut finanziert und unterhalten wird.

Packrat Screenshots