ModifiedElephant APT egy évtizede
A SentnelLab által ModifiedElephant néven követett fenyegetési csoport (APT) egy évtizede olyan taktikát alkalmazott, amely lehetővé tette számára, hogy a legnagyobb titokban működjön, anélkül, hogy a kiberbiztonsági cégek összekapcsolnák a támadásokat.
A csoport 2012 óta az emberi jogi aktivistákat, a szólásszabadság védelmezőit, a tudósokat és az ügyvédeket követi Indiában. Az APT által készített kártékony e-mailek távoli elérésű trójai alkalmazásokat, keyloggereket és egyéb rosszindulatú kódokat tartalmaztak.
A SentinelLabs kutatói által készített jelentés részletesen ismerteti a ModifiedElephant taktikáját, és elmagyarázzák, hogy a közelmúltban közzétett bizonyítékok hogyan segítettek nekik korábban a különálló támadásokat összekötni.
A kampányokban használt elsődleges rosszindulatú programok a NetWire és a DarkComet, két távoli hozzáférésű trójai, amelyek nyilvánosan elérhetőek és széles körben használják az alacsonyabb szintű kiberbűnözők. A ModifiedElephant által használt Visual Basic keylogger 2012 óta változatlan és ingyenesen elérhető volt a hacker fórumokon., ugyanakkor a mai operációs rendszerekkel már nem működik. Az Android-hoz használt rosszindulatú programja szintén egy megvehető trójai, amelyet APK formájában juttatnak el az áldozatokhoz, és ráveszik őket arra, hogy maguk telepítsék az alkalmazást, amit valamilyen népszerű terméknek álcáztak.
A SentinelLabs jelentése számos összefüggést állapít meg az egyes ModifiedElephant támadások időzítése és a célpontok röviddel azután bekövetkezett letartóztatása között. Ez az egybeesés az indiai állam érdekeihez igazodó célzási hatókörrel kombinálva valószínűsíti, hogy a hackereket India hivatalos közigazgatását támogatják.