Hinahanap ng FireEye Gh0stRAT cyberespionage kampanya magpatuloy

Ang isang kilalang tool sa cyber-spying na tinatawag na Gh0st RAT ay kasalukuyang ginagamit sa mga pag-atake ng malware malware, ayon sa isang bagong ulat mula sa security firm na FireEye.

FireEye, na dalubhasa sa detection ng malware, ay inilabas ang data na nakolekta mula sa daan-daang mga customer nito noong 2012. Tiningnan nito ang 12 milyong iba't ibang mga ulat ng kahina-hinalang aktibidad, sa paligid ng 2,000 na kung saan ay inuri bilang "advanced persistent threats" (APTs), ang terminong pang-industriya ng seguridad para sa sopistikadong, mahirap na tuklasin ang mga pag-atake na nakatuon sa pangmatagalang paglusot ng mga organisasyon.

Karamihan ng mga 2,000 na pangyayari na nagtatrabaho sa Gh0st RAT, isang remote access tool na pinaniniwalaan na na-develop sa China na nagpapahintulot sa mga mang-aatake na magnakaw ako nformation mula sa mga computer ng biktima. Noong 2009, ang mga mananaliksik na may Information Warfare Monitor, isang proyektong pananaliksik sa seguridad ng computer, at ang University of Toronto ay nag-ulat ng isang malawak na kampanya ng cyber espionage gamit ang Gh0st RAT na nagta-target ng higit sa 1,000 mga computer sa 103 na bansa.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC.

Ang Gh0st RAT ay "isang mahalagang mahalagang bahagi ng maraming uri ng mga kampanya ng APT dahil ito ay isang epektibong tool," sabi ni Rob Rachwald, ang senior director ng market research ng FireEye. kung paano inaatake ng mga attacker ang impormasyon mula sa mga biktima at kontrolin ang kanilang malware sa mga nahawaang computer, o aktibidad ng "callback". Ang kanilang data mula sa 2012 ay nagpapakita na ang mga attackers ay gumagamit ng command-and-control server upang maghatid ng mga tagubilin sa malware sa 184 na bansa ngayon, isang 42 porsiyento na pagtaas sa 2010.

South Korea ay may konsentrasyon ng aktibidad ng callback. Ang mga server ng mga kumpanya ng teknolohiya ay may posibilidad na ma-target ng mga hacker upang makipag-usap sa kanilang mga nahawaang machine. "Sa tingin ko ang katotohanan na sila ay tradisyonal na isa sa mga pinaka-konektado bansa sa mundo ay maaaring isa pang driver para sa ito," sinabi Rachwald.

Ang ulat FireEye sinabi "sa isang kahulugan, South Korea ay plagued sa pamamagitan ng RATs [remote access tools]. Ito ay malinaw mula sa 2012 data na ang South Korea ay isa sa mga nangungunang destinasyon ng callback sa mundo at ang ilan sa mga aktibidad ng callback ng bansa ay nauugnay sa mas naka-target na pag-atake. "

Ang mga Hacker ay nagpapasok din ng ninakaw na impormasyon sa mga file ng JPEG image sa upang gawin ang data na mas mukhang normal na trapiko. Ginamit din ng malware ang mga site ng social networking tulad ng Twitter at Facebook upang maglagay ng mga tagubilin para sa mga nahawaang machine, sinabi ng FireEye.

Napansin ng kumpanya ang ibang mga pagbabago sa pag-uugali ng mga hacker. Karaniwan, ang mga server ng command-and-control ay matatagpuan sa ibang bansa kaysa sa biktima. Ngayon ay tinitingnan nila ang imprastraktura ng utos sa parehong bansa upang gawing normal ang trapiko.

Ngunit para sa ilang mga bansa, ang mga hacker ay hindi nag-abala sa mga server ng kontrol sa bansa ng target. Ang Canada at ang U.K. parehong may mataas na porsyento ng trapiko ng callback sa ibang bansa. Ang mga atake ay marahil ay hindi nagawa iyon sa mga bansang iyon sapagkat "alam nila na hindi sila napansin," sinabi ni Rachwald.