Slipad hackare avslöjas efter nybörjarmisstag

Slipad hackare avslöjas efter nybörjarmisstag

Slipad hackare avslöjas efter nybörjarmisstag

Det faktum att du är en slipad hackare med mycket goda datorkunskaper innebär inte att du är lika smart när det kommer till att dölja dina digitala spår. En ensam hackare, Igor, avslöjades av säkerhetsföretaget efter en serie nybörjarmisstag.

Igor hackar datorsystem för sin egen vinnings skull. Han hackar inte datorsystem i jakten på hemligheter, underrättelsrrapporter eller för att sprida trojaner. Han attackerar kinesiska biltillverkare och utvecklare av mjukvaror för bilar. Han stjäl mjukvara som han sedan säljer.

Igor targeted the auto-tech company in order to steal car diagnostics software. This software retails for approximately $1,100 through legitimate channels. Igor is selling it for just a few hundred dollars on underground forums and websites he has created expressly for this purpose. Considering the audacity of this attack, the financial rewards for Igor are pretty low.

Symantec

Sofistikerade

Till sin hjälp har han en egna verktyg. Mjukvara som han av spåren att döma skrivit själv. I arsenalen av verktyg ingår Igors egen trojan Bachosens. Med hjälp av det programmet så har han gett sig på tillverkare av bilder och utvecklare av mjukvara för bilar. Han har genomfört sofistikerade attacker och lyckats att ta sig förbi brandväggar och säkerhetsmjukvara.

Förutom attackerna mot kinesiska biltillverkare så har Symnatec också hittat spår efter Igor hos ett spelföretag, online, och ett flygbolag.

På en teknisk nivå så har det handlat om attacker på en hög nivå. Det är sedan det visar sig att Igor varit slarvig och begått nybörjarmisstag.

Domäner

Trojanen, Bachosens, kommunicerar med en central server, från vilken den styrs och till vilken insamlad data skickas. Igor har haft ett eget Kontrollcenter och använt sig av både kryptering och dynamiska IP-nummer för att dölja sina aktiviteter men han har bara använt sig av sammanlagt tretton olika domäner varav åtminstone en domän varit aktiv och fungerat under mer än ett år.

Oddly, while malware that uses DGA normally creates hundreds of domains at a time—with the aim being to make it more difficult for the malware to be detected—this attacker only created 13 domains using DGA over the course of an entire year. One domain was valid for the entire year, with one new domain created each month. Creating such a small number of domains essentially defeats the purpose of using DGA, as it would only allow the attacker to avoid the most basic cyber defenses.

This unusual use of DGA is just one of the parts of Igor’s operations that demonstrates a lack of polish, and shows an interesting contradiction between the advanced level of the malware and the rather unpolished way in which it is used.

Virustest

Igår har också använt ett virustest-verktyg för att se till att hans trojan Bachosens inte upptäcktes av antivirusprogram. När han testade sitt program så använde han namn på filerna vilka snabbt ledde till att säkerhetsexperter intresserade sig för hans inskickade program, utan att berätta något för Igor naturligtvis.

Han använde även en keylogger, ett program som samlar in det som skrivs på ett tangentbord. Något som hackare mycket sällan gör därför att det kan avslöja dem. Igår kunde inte heller undanhålla sig från att publicera information om sig själv när han bjöd ut sina stulna program – även på publika forum.

Symantec

Symantec

This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.