На думку дослідників ESET, дані свідчать про те, що нові версії сімейств шкідливих програм, а також раніше не виявлений бекдор, пов’язані з невловимою групою Ke3chang. Про це нас сповіщає Infosecurity Magazine.

Дослідники вже давно відстежують цю групу передових постійних загроз (APT), яка сама назвала себе Ke3chang, і підозрюють, що вона діє поза межами Китаю (хоча раніше підозрювали саме китайських хакерів).

Шкідлива програма, названа Okrum компанією ESET,  вперше була виявлена ​​наприкінці 2016 року, коли вона була використана для атак на дипломатичні місії та урядові установи Бельгії, Словаччини, Бразилії, Чилі та Гватемали. Тим не менш, дослідники бачили кілька варіантів зловмисних програм і приписували цю діяльність групі Ke3chang.

“Під час досліджень, що відбувалися до 2015 року, ESET виявила нові підозрілі заходи в європейських країнах. Виявилося, що група, що стояла за атаками, мала особливий інтерес у Словаччині, але Хорватія, Чехія та інші країни також постраждали. Аналізуючи шкідливе програмне забезпечення, використане в цих атаках, дослідники ESET виявили, що це було пов’язано з відомими сімействами шкідливих програм, приписаних групі Ke3chang, і назвали ці нові версії Ketrican”, – йдеться у випуску.

“Ми почали з’єднувати точки, коли ми виявили, що бекдор Okrum був використаний для випуску бекдора Ketrican, виявленого в 2017 році. Крім того, ми виявили, що деякі дипломатичні особи, які постраждали від шкідливих програм Okrum і “Ketrican backdoors 2015″, також були атаковані саме у 2017 році”, – зазначила Зузана Хромцова, дослідниця ESET, яка зробила ці відкриття.

Група залишилася активною в 2019 році. Ще в березні дослідники виявили новий зразок Ketrican, який був зроблений з попередньої версії бекдора Ketrican у 2018 році. Він атакував ті ж цілі, що й бекдор з 2018 року,  йдеться в дослідженні.

“Okrum може  проникати в систему безпеки користувача, використовуючи виклик API ImpersonateLoggedOnUser, щоб отримати привілеї адміністратора. Він автоматично збирає інформацію про заражений комп’ютер, включаючи ім’я комп’ютера, ім’я користувача, IP-адресу хоста, значення первинного DNS-суфікса, версія ОС, номер збірки, архітектура, рядок агента користувача та інформація про локалізації (назва мови, назва країни)”, – додано у звіті.

Між іншим, помилка протоколу комунікації Bluetooth може розкривати користувачів сучасних  пристроїв, які використовують цей інтерфейс. Окрім цього, ідентифікатори цих пристроїв в результаті виникнення помилки стають доступними для третіх осіб.

Також стало відомо, що нова версія Finspy збирає інформацію з месенджерів, що використовують шифрування, таких як Telegram, WhatsApp, Signal і Threema. Імплант FinSpy для iOS вміє приховувати сліди джейлбрейка, а версія для Android містить експлойт для отримання прав суперкористувача і виконання команд на пристрої.