FireEye löytää Gh0stRAT -verkkosivustokampanjat

FireEye on erikoistunut haittaohjelmien havaitsemiseen erikoistuneeseen FireEye-tietojärjestelmään, joka tunnetaan nimellä Gh0st RAT. Se keräsi tietoja satoista asiakkaistaan ​​vuoden 2012 aikana. Se katsoi 12 miljoonasta erilaisesta epäilyttävää toimintaa koskevasta raportista, joista noin 2 000 on luokiteltu "kehittyneiksi pysyviin uhkiin" (APT), turvallisuustekniikan termiin kehittyneille, vaikeasti havaittaville hyökkäykset, joiden tavoitteena on organisaatioiden pitkäaikainen infiltraatio.

Useimmat näistä 2000 tapauksista työllistivät Gh0st RAT: n, jonka uskotaan olevan kehitetty Kiinassa, jonka avulla hyökkääjät voivat varastaa tietoja uhrin tietokoneista. Vuonna 2009 Information Warfare Monitorin tutkijat, tietoturvatutkimushanke ja Toronton yliopisto kertoivat laajan verkkopohjaisen vakoilukampanjan, joka käyttää Gh0st RAT -ohjelmaa, joka kohdistaa yli 1000 tietokonetta 103 maahan.

[Lue lisää: haittaohjelmat Windows-tietokoneelta]

Gh0st RAT on "todellinen tärkeä osa monenlaisia ​​APT-kampanjoita, koska se on tehokas työkalu", sanoo Rob Hexwald, FireEyen markkinatutkimuksen johtaja.

FireEyen raportissa tarkastellaan laajasti kuinka hyökkääjät poistavat uhrien tiedot ja valvovat haittaohjelmiaan tartunnan saaneilla tietokoneilla tai "soittopyyntö" -toiminnolla. Heidän tietonsa vuodelta 2012 osoittavat, että hyökkääjät käyttävät komento-ja -ohjauspalvelimia toimittamaan haittaohjelmia koskevat ohjeet 184 maassa nyt, 42 prosenttia enemmän kuin vuonna 2010.

Etelä-Korealla on keskittyminen takaisinsoittotoimintaan. Hakkerit kohdistavat teknologiayritysten palvelimet kommunikoimaan tartunnan saaneiden koneiden kanssa. "Uskoakseni, että he ovat olleet perinteisesti yksi maailman yhdentyneimmistä kansakunnista, tämä on luultavasti toinenkin ajokortti", Rachwald sanoi.

FireEyen raportissa sanotaan: "Jotkut mielestäni Etelä-Korea kärsii RAT: pääsytyökalut]. Vuoden 2012 tietojen mukaan Etelä-Korea on yksi maailman suosituimmista soitonsiirron kohteista ja että jotkut maan soittopyynnistä liittyvät kohdennetumpiin hyökkäyksiin. "

Hakkerit myös liittävät varastettuja tietoja JPEG-kuvatiedostoihin jotta tiedot näyttäisivät tavalliselta liikenteeltä. Haittaohjelmat käyttivät myös sosiaalisen verkostoitumisen sivustoja kuten Twitter ja Facebook asettamaan ohjeita tartunnan saaneille koneille, FireEye sanoi.

Yhtiö huomasi muut muutokset hakkereiden käyttäytymisessä. Yleensä komentojen ja valvonnan palvelimet sijaitsi eri maassa kuin uhri. Nyt he löytävät komento-infrastruktuurin samassa maassa, jotta liikenne näyttäisi normaalilta.

Joissakin maissa hakkerit eivät vaivautuneet valvontapalvelimien kanssa kohdemaassa. Kanadalla ja U.K: lla oli molemmat korkea prosenttiosuus takaisinlähtöliikenteestä ulkomaille. Hyökkääjät eivät ehkä tehneet niin näissä maissa, koska "he tiesivät, etteivät he ole löytäneet", Rachwald sanoi.