FireEye rileva che le campagne di cyberespionage di Gh0stRAT continuano

Un noto strumento di spionaggio informatico chiamato Gh0st RAT viene ancora impiegato in attacchi di malware nascosti, secondo un nuovo rapporto della società di sicurezza FireEye.

FireEye, specializzato nel rilevamento di malware, rilasciato dati raccolti da centinaia di clienti nel 2012. Sono stati esaminati 12 milioni di segnalazioni di attività sospette, circa 2000 delle quali sono state classificate come "minacce persistenti avanzate" (APT), il termine del settore della sicurezza per sofisticate, difficili da individuare attacchi mirati all'infiltrazione a lungo termine delle organizzazioni.

La maggior parte di quei 2000 incidenti ha coinvolto Gh0st RAT, uno strumento di accesso remoto che si ritiene sia stato sviluppato in Cina che consente agli aggressori di rubare informazioni dai computer di una vittima. Nel 2009, i ricercatori con l'Information Warfare Monitor, un progetto di ricerca sulla sicurezza informatica e l'Università di Toronto hanno riferito una vasta campagna di spionaggio informatico utilizzando Gh0st RAT che ha preso di mira più di 1.000 computer in 103 paesi.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Gh0st RAT è "una parte molto importante di molti tipi di campagne APT perché è uno strumento efficace", ha dichiarato Rob Rachwald, direttore senior delle ricerche di mercato di FireEye.

La relazione di FireEye esamina in generale come gli aggressori estraggono le informazioni dalle vittime e controllano il loro malware su computer infetti o attività di "callback". I dati del 2012 mostrano che gli aggressori utilizzano server command-and-control per inviare istruzioni al malware in 184 paesi, con un aumento del 42% rispetto al 2010.

La Corea del Sud ha una concentrazione di attività di callback. I server delle aziende tecnologiche tendono a essere presi di mira dagli hacker per comunicare con le loro macchine infette. "Penso che il fatto che siano stati tradizionalmente una delle nazioni più connesse al mondo è probabilmente un altro driver per questo", ha detto Rachwald.

Il rapporto di FireEye ha detto "in un certo senso, la Corea del Sud è afflitta dai RAT [remote strumenti di accesso]. Dai dati del 2012 risulta chiaro che la Corea del Sud è una delle principali destinazioni di callback nel mondo e che alcune attività di callback del paese sono associate a attacchi più mirati. "

Gli hacker stavano anche inserendo informazioni rubate in file di immagine JPEG in per rendere i dati più simili al normale traffico. Il malware ha anche utilizzato siti di social networking come Twitter e Facebook per inserire istruzioni per macchine infette, ha detto FireEye.

La società ha notato altri cambiamenti nel comportamento degli hacker. Di solito, i server di comando e controllo si trovavano in un paese diverso rispetto alla vittima. Ora stanno localizzando l'infrastruttura di comando nello stesso paese per rendere il traffico normale.

Ma per alcuni paesi, gli hacker non si sono preoccupati dei server di controllo nel paese di destinazione. Sia il Canada che il Regno Unito avevano entrambe un'alta percentuale di traffico di richiamata che andava all'estero. Gli aggressori forse non l'hanno fatto in quei paesi perché "sapevano che non sarebbero stati scoperti", ha detto Rachwald.