As well-crafted hacking tools become more ubiquitous, long simmering rivalries between developing nations take on a new dimension: cyber espionage runs rampant.
思科内部网络安全部门 Talos Security 发布的报告描述了一场针对印度的长期计算机间谍活动很可能由巴基斯坦运营商主导。这是一种被称为“GravityRAT”的隐身远程访问木马,自2016年以来一直被反复被用于瞄准印度组织。
在此期间,GravityRAT 的作者添加了新功能并更改了某些原有功能,使其更难以被检测。该恶意软件还是多语种的,被放在钓鱼电子邮件中能更好的欺骗讲中文、意大利文、法文、德文或西班牙文的人。
Talos 安全研究员 Paul Rascagneres 说:“该恶意程序的演变表明作者是有动力的。在最新版本(GX)上,他们实施了大量虚拟机检测……根据 Talos 的说法,印度的计算机应急响应小组(CERT)以前发布过关于对于 GravityRAT 的建议,这表明它针对多个印度实体。然而,当时印度 CERT 只分享了有限的操作细节。直到周四才公布更全面的解释。
“我们在 GravityRAT 的整个生命周期中都看到了文件泄露、远程命令执行功能和反虚拟现实技术,”Talos 的一篇博客文章写道。
研究人员称,该工具似乎已经设计好可以与钓鱼邮件结合使用,恶意有效载荷本身将隐藏在武器化的 Microsoft Word 文档中。Talos 收集了几个诱饵文件和图像,其中一些图片描绘一群中东男人在集市上。
简而言之,GravityRAT 可以从受感染的计算机中非常快速地泄露大量数据。它甚至可以扫描连接到受害设备的外部硬盘驱动器或 USB 记忆棒,然后提取这些文件。目前还不清楚有多少人或组织是受害者。
“每个新的变体都包含新功能。这次开发者一直使用相同的 C2 基础设施。 [而且]开发人员很聪明,可以保证这个基础设施的安全。“ Talos 能够对 GravityRAT 有全面的了解因为它的一个操作员犯了一个明显的操作安全错误。
多次,攻击者将黑客工具上传到安全研究社区普遍使用的公共恶意软件库 VirusTotal。这些上传带有可识别的信息,如时间戳和地理位置。其中提供了一个名称:“Adeel。”
在 LinkedIn 上搜索名为 Adeel 的计算机安全专家显示出数百人,他们目前驻扎在巴基斯坦,根据现有的研究,尚不清楚这个人是谁。
“[GravityRAT] 并不是最复杂的恶意软件,因为它是用.NET开发的,我们可以轻松获得源代码以分析它。不需要拆解二进制代码并从汇编层面开展工作。”
印度和巴基斯坦之间仍然存在着敌对和好斗的关系,克什米尔边界有争议的领土上反复发生小型武器冲突。