Grupa hackerska umieszczająca spreparowane dowody przestępstwa na komputerach ofiar

SentinelOne opisuje działania grupy o kryptonimie ModifiedElephant, która jak się okazuje działa od blisko dekady w Indiach. Tak jak wspomniałem w tytule – grupa ma na celu podrzucanie np. plików świadczących o rzekomym dokonaniu przestępstwa przez ofiarę. Używają w tym celu głównie komercyjnych narzędzi (w tym używanych przez firmy zajmujące się rozwijaniem narzędzi do inwigilacji)

ModifiedElephant operates through the use of commercially available remote access trojans (RATs) and has potential ties to the commercial surveillance industry.

Czy to jakaś nowość? I tak i nie. W 2021 roku analizowana była inna ekipa:

We wrześniu 2021 r. SentinelLabs opublikował badania dotyczące działań podmiotu EGoManiac, działającego w Turcji, zwracając uwagę na ich praktykę umieszczania obciążających dowodów w systemach dziennikarzy. Wszystko w celu uzasadnienia aresztowań przez turecką policję

In September 2021, SentinelLabs published research into the operations of a Turkish-nexus threat actor we called EGoManiac, drawing attention to their practice of planting incriminating evidence on the systems of journalists to justify arrests by the Turkish National Police

W jaki sposób dostarczane są „dowody na popełnienie przestępstwa”? E-mailem. Eeeee, odpowiecie – tak każdy potrafi. No więc w mailu dostarczane były bądź to pliki ze złośliwymi makrami MS Office, bądź to uzbrojone podatności (np. pliki rtf wykorzystujące krytyczne podatności w MS Office). Czyli instalacja zdalnego dostępu do komputera ofiary, a dopiero później dostarczenie „payloadu”.

Były również próby ataku na Androidy – tutaj używana była dość prosta technika – podrzucenie niby niewinnej appki, która okazywała się być trojanem.

Autorzy raportu dodają jeszcze jedną ciekawostkę:

Wiele osób będących celem ModifiedElephant na przestrzeni lat również zostało zaatakowanych lub zostało zarażonych oprogramowaniem szpiegującym do monitoringu mobilnego [mowa o narzędziach klasy Pegasusa]

Multiple individuals targeted by ModifiedElephant over the years have also been either targeted or confirmed infected with mobile surveillance spyware.

~Michał Sajdak