FireEye, Gh0stRAT siberpresaj kampanyalarını sürdürüyor

Güvenlik firması FireEye'den yeni bir rapora göre, gizli kötü amaçlı yazılım saldırılarında hala bilinen bir siber casusluk aracı olan Gh0st RAT.

Kötü amaçlı yazılım tespitinde uzmanlaşmış FireEye 2012'de yüzlerce müşterisinden topladığı veriler. 12 milyon farklı şüpheli etkinlik raporuna bakmış, yaklaşık 2,000'i “gelişmiş kalıcı tehditler” (APT'ler), güvenlik endüstrisinin sofistike, zor tespit edilmesi için bir terim olarak sınıflandırılmıştır. örgütlerin uzun süreli infiltrasyonunu amaçlayan saldırılar.

Bu 2,000 olayın çoğu, saldırganların çalmasını sağlayan Çin'de geliştirilmiş bir uzaktan erişim aracı olan Gh0st RAT'ı kullandı. Bir kurbanın bilgisayarından nformation. 2009 yılında, bir bilgisayar güvenlik araştırma projesi olan Information Warfare Monitor ile araştırmacılar ve Toronto Üniversitesi, 103 ülkede 1000'den fazla bilgisayarı hedefleyen Gh0st RAT kullanarak kapsamlı bir siber casusluk kampanyası rapor etti.

[Daha fazla okuma: Nasıl kaldırılır FireEye'in piyasa araştırması direktörü Rob Rachwald, “Windows PC'nizden kötü amaçlı yazılım]

Gh0st RAT,“ APT kampanyalarının birçoğunun önemli bir parçası çünkü etkili bir araç ”dedi. Saldırganların mağdurlardan bilgi almaları ve virüslü bilgisayarlarda kötü amaçlı yazılımlarını veya “geri arama” etkinliğini nasıl kontrol ettikleri. 2012 verileri, saldırganların şu anda 184 ülkede kötü amaçlı yazılımlara talimat vermek için komuta kontrol sunucularını kullandığını gösteriyor. Bu rakam 2010'a göre yüzde 42'lik bir artış gösteriyor.

Güney Kore, geri arama faaliyeti yoğunluğuna sahip. Teknoloji şirketlerinin sunucuları, bilgisayar korsanlarının bulaştığı makinelerle iletişim kurmasını hedefliyor. Rachwald, “Geleneksel olarak dünyanın en bağlı uluslarından biri olmasının muhtemelen bir başka sürücü olduğunu düşünüyorum” dedi.

FireEye'in raporunda şöyle deniyor: “Bir anlamda Güney Kore RAT'lar tarafından kontrol ediliyor [uzaktan erişim araçları 2012 verilerinden Güney Kore'nin dünyanın en iyi geri arama destinasyonlarından biri olduğunu ve ülkenin geri arama faaliyetlerinin bir kısmının daha fazla hedefli saldırılarla ilişkilendirildiğini açıkça görüyoruz. ”

Hacker'lar ayrıca çalınan bilgileri JPEG görüntü dosyalarına yerleştiriyorlardı. Verilerin normal trafik gibi görünmesini sağlamak için. Kötü amaçlı yazılım ayrıca Twitter ve Facebook gibi sosyal ağ sitelerini enfekte makineler için talimatlar koymak için kullandığını söyledi.

Şirket, bilgisayar korsanlarının davranışlarındaki diğer değişiklikleri fark etti. Genellikle, komuta kontrol sunucuları kurbandan farklı bir ülkede bulunuyordu. Şimdi trafikte normal görünmek için aynı ülkede komuta altyapısını belirliyorlar.

Ancak bazı ülkeler için bilgisayar korsanları hedef ülkenin kontrol sunucuları ile uğraşmadı. Kanada ve İngiltere’nin her ikisi de denizaşırı ülkelerde yüksek geri dönüş trafiği oranlarına sahipti. Bu ülkelerdeki saldırganlar belki de bunu yapmadılar çünkü “tespit edilmeyeceklerini biliyorlardı” diyor Rachwald.