Razotkrivena hakerska grupa koja stoji iza sajber napada u Rusiji i Srbiji

Vesti, 02.08.2023, 10:00 AM

Hakerska grupa „Svemirski pirati“ povezana je sa prošlogodišnjim napadima na najmanje 16 organizacija u Rusiji i Srbiji.

„Glavni ciljevi sajber kriminalaca i dalje su špijunaža i krađa poverljivih informacija, ali grupa je proširila svoje interese i geografiju svojih napada“, navodi se u izveštaju kompanije Positive Technologies objavljenom prošle nedelje.

Među žrtvama su ruske i sprske vladine i obrazovne institucije, privatne kompanije za obezbeđenje, proizvođači iz avio industrije, poljoprivredni proizvođači, odbrambene, energetske i kompanije za sajber bezbednost u Rusiji i Srbiji.

Svemirske pirate je prvi put razotkrila ruska kompanija za sajber bezbednost Positive Technologies u maju 2022, kada je objavljen prvi sveobuhvatni istraživački rad o ovoj hakerskoj grupi. Međutim, ona je aktivna od 2017. godine. Od prošle godine grupa je pojačala napade na ruske kompanije. Jedva da su promenili svoju taktiku, ali su razvili nove alate i poboljšali one koje su ranije koristili u napadima.

Analiza infrastrukture napadača koju je sprovela kompanija Positive Technologies otkrila je interesovanje gupe za PST imejl arhive, kao i to da grupa koristi malver Deed RAT. Greška u konfiguraciji na C&C serveru Svemirskih pirata omogućila je istraživačima da skeniraju njegov sadržaj, pa su tako otkrivene dve imejl arhive koje pripadaju jednom srpskom ministarstvu o čemu je Positive Technologies obavestio Nacionalni CERT Srbije.

Malver Deed RAT koga ekskluzivno koriste Svemirski pirati je naslednik ShadowPada, koji je sam po sebi evolucija malvera PlugX, a oba malvera koriste kineske hakerske grupe koje se bave sajber špijunažom.

Malver ima 32- i 64-bitnu verziju i opremljen je za dinamičko preuzimanje dodataka sa servera napadača.

Deed RAT takođe funkcioniše kao kanal za isporuku malvera sledeće faze kao što je Voidoor, ranije nepoznati malver koji kontaktira legitimni forum pod nazivom Voidtools i GitHub repozitorijum povezan sa korisnikom po imenu „hasdhuahd“ za komandu i kontrolu (C2).

Voidtools je programer besplatnog programa za pretragu za Microsoft Windowsa pod nazivom Everything, sa forumom koji se pokreće pomoću softvera otvorenog koda pod nazivom MyBB. Primarni cilj Voidoora je da se prijavi na forum koristeći kodirane akreditive i pristupi korisničkom sistemu za razmenu privatnih poruka kako bi potražio folder koja odgovara određenom ID-u žrtve.

Nalozi na GitHubu i voidtools registrovani su u novembru 2022.

„Hakeri rade na novom malveru koji implementira nekonvencionalne tehnike, kao što je Voidoor, i modifikuju svoj postojeći malver“, navodi se u izveštaju Positive Technologies, u kome se ističe da napadači koriste „veliki broj javno dostupnih alata za navigaciju mrežama“ i Acunetix skener ranjivosti veba za „izviđanje infrastrukture na koju cilja“.

Foto: Bermix Studio / Unsplash