Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Grupa hackerska umieszczająca spreparowane dowody przestępstwa na komputerach ofiar

23 lutego 2022, 10:02 | W biegu | 1 komentarz

SentinelOne opisuje działania grupy o kryptonimie ModifiedElephant, która jak się okazuje działa od blisko dekady w Indiach. Tak jak wspomniałem w tytule – grupa ma na celu podrzucanie np. plików świadczących o rzekomym dokonaniu przestępstwa przez ofiarę. Używają w tym celu głównie komercyjnych narzędzi (w tym używanych przez firmy zajmujące się rozwijaniem narzędzi do inwigilacji)

ModifiedElephant operates through the use of commercially available remote access trojans (RATs) and has potential ties to the commercial surveillance industry.

Czy to jakaś nowość? I tak i nie. W 2021 roku analizowana była inna ekipa:

We wrześniu 2021 r. SentinelLabs opublikował badania dotyczące działań podmiotu EGoManiac, działającego w Turcji, zwracając uwagę na ich praktykę umieszczania obciążających dowodów w systemach dziennikarzy. Wszystko w celu uzasadnienia aresztowań przez turecką policję

In September 2021, SentinelLabs published research into the operations of a Turkish-nexus threat actor we called EGoManiac, drawing attention to their practice of planting incriminating evidence on the systems of journalists to justify arrests by the Turkish National Police

W jaki sposób dostarczane są „dowody na popełnienie przestępstwa”? E-mailem. Eeeee, odpowiecie – tak każdy potrafi. No więc w mailu dostarczane były bądź to pliki ze złośliwymi makrami MS Office, bądź to uzbrojone podatności (np. pliki rtf wykorzystujące krytyczne podatności w MS Office). Czyli instalacja zdalnego dostępu do komputera ofiary, a dopiero później dostarczenie „payloadu”.

Były również próby ataku na Androidy – tutaj używana była dość prosta technika – podrzucenie niby niewinnej appki, która okazywała się być trojanem.

Autorzy raportu dodają jeszcze jedną ciekawostkę:

Wiele osób będących celem ModifiedElephant na przestrzeni lat również zostało zaatakowanych lub zostało zarażonych oprogramowaniem szpiegującym do monitoringu mobilnego [mowa o narzędziach klasy Pegasusa]

Multiple individuals targeted by ModifiedElephant over the years have also been either targeted or confirmed infected with mobile surveillance spyware.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Nie masz nic do ukrycia?

    Lekkomyślni twierdzą, że ponieważ nie robią nic złego, to nie mają nic do ukrycia.

    Mogą zmienić zdanie, gdy łatwo udostępnią dane ze swojego komputera i ktoś znajdzie w nich coś kompromitującego, bo ktoś (inny albo nie) im coś podrzucił.

    Odpowiedz

Odpowiedz