FireEye finner Gh0stRAT cyberespionage kampanjer fortsätter

Ett välkänt cyberspionningsverktyg som heter Gh0st RAT är fortfarande anställd i smutsiga malwareattacker, enligt en ny rapport från säkerhetsföretaget FireEye.

FireEye, som specialiserat sig på att upptäcka skadlig kod, släpptes data som det samlades in från hundratals kunder under 2012. Det såg på 12 miljoner olika rapporter om misstänkt aktivitet, varav cirka 2000 var klassificerade som "avancerade vidhängande hot" (APT), säkerhetsbranschens term för sofistikerad, svår att detektera attacker riktade mot långsiktig infiltrering av organisationer.

De flesta av de 2000 händelserna anställde Gh0st RAT, ett fjärråtkomstverktyg som tros ha utvecklats i Kina som tillåter angripare att stjäla mig nformation från ett offrets datorer. Under 2009 rapporterade forskare med Information Warfare Monitor, ett datasäkerhetsforskningsprojekt och University of Toronto en omfattande cyberspionagekampanj med hjälp av Gh0st RAT som riktar sig till mer än 1000 datorer i 103 länder.

[Ytterligare läsning: Hur man tar bort skadlig programvara från din Windows-dator]

Gh0st RAT är "en viktig del av många typer av APT-kampanjer eftersom det är ett effektivt verktyg", säger Rob Rachwald, BrandEye: s chef för marknadsundersökningar.

FireEyes rapport ser i stor utsträckning på hur attackerar extraherar information från offer och kontrollerar deras skadliga program på infekterade datorer eller "återuppringning" -aktivitet. Deras data från 2012 visar att angripare använder kommando- och kontrollservrar för att leverera instruktioner till skadlig kod i 184 länder nu, en ökning med 42 procent under 2010.

Sydkorea har en koncentration av återuppringningsaktivitet. Servrarna av teknikföretag tenderar att vara inriktade av hackare att kommunicera med sina infekterade maskiner. "Jag tror att det faktum att de traditionellt har varit en av de mest anslutna nationerna i världen är nog en drivkraft för detta", säger Rachwald. FireEye: s rapport sade "i en mening är Sydkorea plågad av RAT åtkomstverktyg]. Det framgår av 2012-uppgifterna att Sydkorea är ett av världens främsta återuppringningsdestinationer och att några av landets återuppringningsaktiviteter är förknippade med mer riktade attacker. "

Hackare införde också stulen information i JPEG-bildfiler i för att få data att se mer ut som normal trafik. Malware använde också sociala nätverk som Twitter och Facebook för att placera instruktioner för infekterade maskiner, säger FireEye.

Företaget märkte andra förändringar i hackarnas beteende. Normalt befann sig kommando- och kontrollservrar i ett annat land än offeret. Nu lokaliserar de kommandotinfrastrukturen i samma land för att få trafiken att se normal ut.

Men i vissa länder störde inte hackare med kontrollservrar i ett lands mål. Kanada och U.K. båda hade höga procentandel av återkalltrafik på utlandet. Attackers gjorde det kanske inte i de länderna eftersom "de visste att de inte skulle bli upptäckta", säger Rachwald.