FireEye mendapati kempen cyberespionage Gh0stRAT terus

Alat cyber-mengintip yang terkenal yang dipanggil Gh0st RAT masih digunakan dalam serangan malware yang senyap, menurut laporan baru dari firma keselamatan FireEye.

FireEye, yang mengkhusus dalam pengesanan malware, dikeluarkan data yang dikumpulkan dari beratus-ratus pelanggannya pada tahun 2012. Ia melihat 12 juta laporan yang berbeza mengenai aktiviti mencurigakan, sekitar 2,000 daripadanya diklasifikasikan sebagai "ancaman berterusan lanjutan" (APT), istilah industri keselamatan untuk canggih, sukar untuk mengesan serangan yang bertujuan untuk penyusupan jangka panjang organisasi.

Kebanyakan 2,000 insiden yang digunakan Gh0st RAT, alat capaian jauh yang dipercayai telah dibangunkan di China yang membolehkan penyerang mencuri i maklumat daripada komputer mangsa. Pada tahun 2009, para penyelidik dengan Monitor Maklumat Warfare, sebuah projek penyelidikan keselamatan komputer, dan University of Toronto melaporkan kempen spionase siber yang luas menggunakan Gh0st RAT yang menyasarkan lebih daripada 1,000 komputer di 103 negara.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows anda]

Gh0st RAT adalah "bahagian penting dari pelbagai jenis kempen APT kerana ia adalah alat yang berkesan," kata Rob Rachwald, pengarah kanan penyelidikan pasaran FireEye.

Laporan FireEye secara luas melihat bagaimana penyerang mengeluarkan maklumat daripada mangsa dan mengendalikan malware mereka pada komputer yang dijangkiti, atau aktiviti "panggilan balik". Data mereka dari 2012 menunjukkan bahawa penyerang menggunakan pelayan arahan dan kawalan untuk menghantar arahan ke malware di 184 negara sekarang, peningkatan 42 peratus berbanding 2010.

Korea Selatan mempunyai tumpuan aktiviti panggil balik. Pelayan syarikat teknologi cenderung untuk disasarkan oleh penggodam untuk berkomunikasi dengan mesin yang dijangkiti mereka. "Saya rasa hakikat bahawa mereka secara tradisinya merupakan salah satu daripada negara-negara yang paling berkaitan di dunia mungkin menjadi pemandu lain untuk ini," kata Rachwald.

Laporan FireEye berkata "dalam erti kata, Korea Selatan dibanjiri oleh RATs [remote alat akses]. Sudah jelas dari data tahun 2012 bahawa Korea Selatan adalah salah satu destinasi panggil balik utama di dunia dan bahawa beberapa aktiviti panggil balik negara dikaitkan dengan serangan yang lebih disasarkan. "

Hacker juga memasukkan maklumat yang dicuri ke dalam fail imej JPEG dalam untuk membuat data kelihatan lebih seperti lalu lintas biasa. Malware juga menggunakan laman rangkaian sosial seperti Twitter dan Facebook untuk meletakkan arahan untuk mesin yang dijangkiti, kata FireEye.

Syarikat itu melihat perubahan lain dalam tingkah laku penggodam. Biasanya, pelayan arahan dan kawalan terletak di negara yang berbeza daripada mangsa. Sekarang mereka mencari infrastruktur arahan di negara yang sama untuk menjadikan lalu lintas kelihatan normal.

Tetapi bagi sesetengah negara, penggodam tidak peduli dengan server kawalan di negara sasaran. Kanada dan U.K kedua-duanya mempunyai peratusan tinggi trafik panggil balik ke luar negara. Penyerang mungkin tidak melakukannya di negara-negara itu kerana "mereka tahu mereka tidak akan dapat dikesan," kata Rachwald.