ȘtiriTech&IT

ToddyCat, un grup de hackeri care țintește organizații guvernamentale, fură date la scară industrială

Atacatorii au creat un instrument cu care fură și date din Whatsapp Web

Kaspersky a anunțat că urmărește activitățile unui grup APT numit ToddyCat și explică ce unelte folosesc atacatorii și cum obțin acces constant la infrastructura compromisă. Acest grup APT vizează în principal organizațiile guvernamentale și militare situate în regiunea Asia-Pacific, iar unul dintre principalele obiective este să fure informații sensibile.

În timpul perioadei de observație, Kaspersky a remarcat că acest grup a furat date la scară industrială. Pentru a colecta volume mari de date de pe multe gazde, atacatorii trebuie să automatizeze cât mai mult procesul de recoltare a datelor și să ofere mai multe mijloace alternative pentru a accesa și monitoriza în mod continuu sistemele pe care le atacă.

Ce fac concret atacatorii din grupul ToddyCat

În ultimul său raport despre grup, firma rusă de securitate cibernetică detaliază metodele de „tunneling” pe care ToddyCat le folosește o dată în interiorul unei rețele, care includ compromiterea software-ului VPN și a furnizorilor de cloud legitimi și abuzul de protocol SSH pentru traficul de internet. Tunneling înseamnă pe scurt crearea unor modalități de a ascunde datele în tranzit.

Având mai multe tuneluri către infrastructura infectată, implementate cu instrumente diferite, le permite atacatorilor să mențină accesul la sisteme chiar dacă unul dintre tuneluri este descoperit și eliminat. Prin asigurarea accesului constant la infrastructură, atacatorii pot efectua recunoașteri și se pot conecta la gazde la distanță.

Whatsapp Web ToddyCat

ToddyCat vizează și datele din Whatsapp Web

Și dacă credeai că pe tine nu te afectează cu nimic, s-ar putea să te înșeli. ToddyCat a creat și WAExp, un instrument cu care fură datele din Whatsapp Web. Instrumentul este scris în .NET și conceput pentru a căuta și a colecta fișiere ale browserului care conțin date de la versiunea web a WhatsApp (web.whatsapp.com).

Pentru cei care folosesc aplicația web WhatsApp, datele precum detaliile profilului, conversațiile, numerele de telefon ale contactelor și informațiile despre sesiune sunt stocate local în browser. Atacatorii pot accesa aceste date copiind fișierele de stocare locală ale browserului.

De ce Whatsapp web? Pentru că varianta de PC a aplicației de mesagerie este folosită masiv la locul de muncă, în cele mai diverse medii și de către angajații majorității companiilor.

Kaspersky nu atribuie grupul ToddyCat niciunei țări sau grup de hacking sprijinit de stat, dar rapoartele anterioare au indicat că țintele includ „entități de înalt profil din Europa și Asia” și infrastructura digitală din Taiwan și Vietnam. Cercetătorii de la Check Point, cu sediul în Israel, au identificat anterior o operațiune împotriva organizațiilor din Kazakhstan, Uzbekistan, Pakistan și Vietnam, care părea să fie legată de ToddyCat. Kaspersky afirmă că activitatea ToddyCat datează cel puțin din 2020.

 

Articole asemanatoare

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Back to top button