Noll
Kaspersky Lab sa i dag att det upptäcks datorer infekterade med DarkPulsar, en malware implantat som har varit påstås ha utvecklats av det AMERIKANSKA National Security Agency (NSA).
“Vi finns runt 50 offer, men tror att den siffran mycket högre,” Kaspersky Labs forskare sade i dag.
“Alla offer var belägna i Ryssland, Iran och Egypten, och typiskt Windows 2003/2008 Server var infekterad,” sade företaget. “Målen relaterade till kärnkraft -, telekommunikations -, IT -, flyg -, och R&D.”
Kaspersky forskarna kunde analysera DarkPulsar eftersom det var en av de många hacking verktyg som dumpades på nätet under våren 2017.
Hacking verktyg har läckt ut av en grupp av hackare som kallas Skuggan Mäklare, som hävdade att de stal dem från Ekvationen Grupp, ett kodnamn som ges av it-säkerhetsbranschen till en grupp som är allmänt tros vara NSA.
DarkPulsar gick oftast obemärkt förbi, för mer än 18 månader som 2017 dumpa också ingår EternalBlue, den exploatering som drivs förra årets tre ransomware utbrott –WannaCry, NotPetya, och Bad Kanin.
Nästan alla infosec community ögon har varit inriktade på att EternalBlue för det gångna året, och av en bra anledning, som de utnyttjar, har nu blivit en handelsvara malware.
Men under de senaste månaderna, Kaspersky forskare har även börjat att gräva djupare i den andra hackerverktyg som läckt ut från Skuggan Mäklare senaste året.
De tittade på FuzzBunch, vilket är en bedrift ram att Ekvationen Gruppen har använt för att exploatera och distribuera skadlig kod på offrens system med hjälp av en CLI-gränssnitt som liknar den till Metasploit pen-tester.
De har också tittat på DanderSpritz, en FuzzBunch plugin som fungerar som ett GRAFISKT program för att kontrollera infekterade offer.
DarkPulsar är en FuzzBunch “implantat”, en teknisk term som betyder “malware”, som ofta används tillsammans med DanderSpritz.
Men i en rapport som släpptes i dag, Kaspersky forskarna sade DarkPulsar kod som ingår i Skuggan Mäklare läckaget inte hela DarkPulsar.
“Vi analyserade detta verktyg och förstod att det är inte en bakdörr i sig, men den administrativa delen bara,” Kaspersky säger.
Ett stort genombrott kom när de insåg att vissa konstanter från DarkPulsar administrativa gränssnittet koden var också högst sannolikt kommer att användas av den faktiska skadliga program.
Bild: Kaspersky Lab
Forskare skapat särskilda regler för att upptäcka dessa konstanter i-filer skannas av Kaspersky antivirus. Detta är hur de upptäckt den ungefär 50 datorer som fortfarande var infekterad med den faktiska DarkPulsar malware.
Baserat på de funktioner som finns i DarkPulsar admin-gränssnittet, säger forskarna malware är i första hand användas som en bakdörr för att infekterade datorer.
Malware viktigaste funktioner är dess förmåga att köra godtycklig kod via en funktion som heter “RawShellcode” och möjligheten att ladda upp andra DanderSpritz nyttolaster (malware) via “EDFStageUpload” – funktion, vilket ökar operatörens håll och kapacitet på ett infekterat system.
Kaspersky forskare tror också att antalet datorer som har infekterats med DarkPulsar är sannolikt större än 50 upptäckter de hittade.
Det skadliga programmet ingår också en själv ta bort funktionen, som Ekvation Grupp operatörer sannolikt användas för att täcka sina spår efter Skuggan Mäklare dumpade sina verktyg på nätet.
“Så den 50 offren är mycket nog bara de som angriparna har helt enkelt glömt,” forskarna säger.
När det gäller vem som ligger bakom dessa hack, Kaspersky inte säga. Det är oklart om Skuggan Mäklare lyckats få tag på hela DarkPulsar skadlig kod men sedan valt att inte inkludera de faktiska bakdörr i paketet läckt verktyg.
Dessa 50 infektioner kan mycket lätt arbete av Ekvationen Grupp cyber-spionage eller arbetet i Skuggan Mäklare själva.
En fullständig teknisk uppdelning av DarkPulsar malware är tillgängliga i denna Kaspersky rapport.
RELATERADE TÄCKNING:
Zero-day i populära jQuery plugin aktivt utnyttjas för minst tre årNSA leaker Verkligheten Vinnare dömdes till över 5 år i fängelse CNETtjeckiska intelligence service stängs av Hizbollah hacka driftOSS väljare poster från 19 stater som säljs på hacking forumBotnät använder WannaCry utnyttja för att min cryptocurrency på servrar TechRepublicPentagon avslöjar kort stridGripandet av top Kinesisk underrättelseofficer gnistor rädsla för ny Kinesisk hacka insatser
Equifax ingenjör som utformats för strid portalen blir 8 månader i husarrest för insiderhandel
Relaterade Ämnen:
Regeringen – OSS
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0