KeyBoy: Κινεζική ομάδα χάκερ δρα με «spy malware» κατασκοπείας, απευθυνόμενο κυρίως σε δυτικούς οργανισμούς.
Μια ομάδα χάκερ γνωστή ως KeyBoy, που πιστεύεται ότι λειτουργεί από την Κίνα , επανεμφανίστηκε με μια νέα εκστρατεία, στοχεύοντας σε διάφορους οργανισμούς των δυτικών εθνών. Η προηγμένη ομάδα advanced persistent (APT) εκτιμάται ότι έχει άμεση σχέση με την KeyBoy και είναι ενεργή από το 2013, στοχεύοντας στο παρελθόν σε οργανισμούς της Νοτιοανατολικής Ασίας.
Η νέα εκστρατεία εταιρικής κατασκοπείας των hackers της KeyBoy χρησιμοποιεί εξειδικευμένα μηνύματα ηλεκτρονικού ταχυδρομείου κακόβουλου λογισμικού και ηλεκτρονικού ταχυδρομείου ηλεκτρονικού “ψαρέματος” για να κατασκοπεύει και να κλέψει πληροφορίες, αρχεία και δεδομένα από τους στόχους της.
Η τελευταία γνωστή δραστηριότητα της ομάδας χάκερ περιλάμβανε στόχευση στο κοινοβούλιο του Θιβέτ από τον Αύγουστο έως τον Οκτώβριο του 2016. Ωστόσο, οι hackers του KeyBoy φαίνεται να επιστρέφουν με μια νέα εκστρατεία, μετατοπίζοντας την εστίαση από τη στόχευση των ασιατικών οργανώσεων στις δυτικές οντότητες.
Σύμφωνα με τους ειδικούς ασφαλείας της PwC, η οποία αποκάλυψε τις τελευταίες επιθέσεις της ομάδας των χάκερ, η KeyBoy χρησιμοποιεί ένα κατασκοπευτικό spy malware, το οποίο έρχεται με σημαντικές ισχυρές δυνατότητες. Το κακόβουλο λογισμικό είναι σε θέση να λαμβάνει screenshots, έχει χαρακτηριστικά keylogging και μπορεί να περιηγηθεί και να κατεβάσει τα αρχεία των θυμάτων. Εκτός αυτού, το spy malware μπορεί επίσης να συλλέξει εκτεταμένες πληροφορίες σχετικά με τους υπολογιστές των στόχων, ακόμη και να κλείσει τα μολυσμένα συστήματα, φέρνοντας ανυπολόγιστες ζημιές στο θύμα.
Οι χάκερ δελεάζουν τα θύματα με διάφορες μεθοδολογίες για να μολύνουν τα συστήματα στέλνοντας συνδέσμους ηλεκτρονικού “ψαρέματος”. Ωστόσο, οι χάκερ χρησιμοποιούν το πρωτόκολλο DDE (Dynamic Data Exchange) αντί για το παραδοσιακό μοντέλο κακόβουλων μακροεντολών ή εκμετάλλευσης. Η επίθεση συνεπάγεται ότι τα θύματα καλούνται να ενημερώσουν το μολυσμένο έγγραφο του Word που παρέχεται από το ηλεκτρονικό ταχυδρομείο ηλεκτρονικού “ψαρέματος”. Μόλις το θύμα κάνει κλικ στην ειδοποίηση ενημέρωσης, εμφανίζεται ένα dropper κακόβουλου λογισμικού και το κακόβουλο πρόγραμμα εγκαθίσταται τελικά στον υπολογιστή του προορισμού.
Σύμφωνα με τους ερευνητές της PwC, το νέο ωφέλιμο φορτίο των hackers της KeyBoy ενσωματώνει νέες τεχνικές που περιλαμβάνουν την αντικατάσταση των νόμιμων δυαδικών αρχείων των Windows με ένα αντίγραφο του κακόβουλου λογισμικού τους. Το malware του KeyBoy απενεργοποιεί την Προστασία αρχείων των Windows, η οποία με τη σειρά της βοηθά τους χάκερ να εκτελούν τις κακόβουλες δραστηριότητές τους κάτω από τον αποκλειστικό έλεγχο τους.
Εξακολουθεί να είναι ασαφές το είδος των οργανώσεων που έχουν στόχο οι hackers της KeyBoy. Επίσης, παραμένει αβέβαιο εάν η ομάδα χάκερ είναι ένα γκρουπ που υποστηρίζεται μυστικά από το κράτος ή αν οι χάκερ αποτελούν μέρος μιας οργανωμένης μονάδας εγκληματικότητας στον κυβερνοχώρο. Οι ερευνητές λένε ότι οι χάκερ έχουν ένα “μεσαίο επίπεδο τεχνικής και επιχειρησιακής τεχνογνωσίας”. Παρόλο που η ομάδα χάκερ έχει στοχεύσει στο παρελθόν οργανισμούς στο Θιβέτ, την Ταϊβάν και τις Φιλιππίνες, η σημερινή μετατόπιση της εστίασης των χάκερς στους στόχους των δυτικών οντοτήτων μπορεί να υποδηλώνει πιθανή επέκταση των δραστηριοτήτων.