На думку дослідників ESET, дані свідчать про те, що нові версії сімейств шкідливих програм, а також раніше не виявлений бекдор, пов’язані з невловимою групою Ke3chang. Про це нас сповіщає Infosecurity Magazine.
Дослідники вже давно відстежують цю групу передових постійних загроз (APT), яка сама назвала себе Ke3chang, і підозрюють, що вона діє поза межами Китаю (хоча раніше підозрювали саме китайських хакерів).
Шкідлива програма, названа Okrum компанією ESET, вперше була виявлена наприкінці 2016 року, коли вона була використана для атак на дипломатичні місії та урядові установи Бельгії, Словаччини, Бразилії, Чилі та Гватемали. Тим не менш, дослідники бачили кілька варіантів зловмисних програм і приписували цю діяльність групі Ke3chang.
“Під час досліджень, що відбувалися до 2015 року, ESET виявила нові підозрілі заходи в європейських країнах. Виявилося, що група, що стояла за атаками, мала особливий інтерес у Словаччині, але Хорватія, Чехія та інші країни також постраждали. Аналізуючи шкідливе програмне забезпечення, використане в цих атаках, дослідники ESET виявили, що це було пов’язано з відомими сімействами шкідливих програм, приписаних групі Ke3chang, і назвали ці нові версії Ketrican”, – йдеться у випуску.
“Ми почали з’єднувати точки, коли ми виявили, що бекдор Okrum був використаний для випуску бекдора Ketrican, виявленого в 2017 році. Крім того, ми виявили, що деякі дипломатичні особи, які постраждали від шкідливих програм Okrum і “Ketrican backdoors 2015″, також були атаковані саме у 2017 році”, – зазначила Зузана Хромцова, дослідниця ESET, яка зробила ці відкриття.
Група залишилася активною в 2019 році. Ще в березні дослідники виявили новий зразок Ketrican, який був зроблений з попередньої версії бекдора Ketrican у 2018 році. Він атакував ті ж цілі, що й бекдор з 2018 року, йдеться в дослідженні.
“Okrum може проникати в систему безпеки користувача, використовуючи виклик API ImpersonateLoggedOnUser, щоб отримати привілеї адміністратора. Він автоматично збирає інформацію про заражений комп’ютер, включаючи ім’я комп’ютера, ім’я користувача, IP-адресу хоста, значення первинного DNS-суфікса, версія ОС, номер збірки, архітектура, рядок агента користувача та інформація про локалізації (назва мови, назва країни)”, – додано у звіті.
Між іншим, помилка протоколу комунікації Bluetooth може розкривати користувачів сучасних пристроїв, які використовують цей інтерфейс. Окрім цього, ідентифікатори цих пристроїв в результаті виникнення помилки стають доступними для третіх осіб.
Також стало відомо, що нова версія Finspy збирає інформацію з месенджерів, що використовують шифрування, таких як Telegram, WhatsApp, Signal і Threema. Імплант FinSpy для iOS вміє приховувати сліди джейлбрейка, а версія для Android містить експлойт для отримання прав суперкористувача і виконання команд на пристрої.
