Το GravityRAT είναι ένα trojan απομακρυσμένης πρόσβασης που στοχεύει κυβερνητικές υπηρεσίες και στρατιωτικούς οργανισμούς από το 2016.
Αυτό το κακόβουλο λογισμικό δημιουργήθηκε ως απειλή μόνο για Windows, αλλά έχει εξελιχθεί σε ένα εργαλείο πολλαπλών πλατφορμών που μπορεί να επιτεθεί σε συστήματα Windows, Android και macOS. Το κακόβουλο λογισμικό χρησιμοποιεί ψεύτικες εφαρμογές και δύσκολα email για να διαδοθεί, καθιστώντας δύσκολο για τους τακτικούς χρήστες να εντοπίσουν τον κίνδυνο.
Το κακόβουλο λογισμικό λειτουργεί μεταμφιέζοντας ως νόμιμο λογισμικό, όπως εφαρμογές ανταλλαγής μηνυμάτων ή εργαλεία κοινής χρήσης αρχείων. Όταν κάποιος κατεβάζει και ανοίγει αυτές τις ψεύτικες εφαρμογές, το GravityRAT εγκαθίσταται κρυφά στη συσκευή του.
Στη συνέχεια, το κακόβουλο λογισμικό αρχίζει να συλλέγει ευαίσθητες πληροφορίες, συμπεριλαμβανομένων εγγράφων, φωτογραφιών, μηνυμάτων και αντιγράφων ασφαλείας WhatsApp. Αυτά τα κλεμμένα δεδομένα αποστέλλονται σε χάκερ που ελέγχουν το κακόβουλο λογισμικό από απομακρυσμένους διακομιστές.
Any.Run αναλυτές αναγνωρισθείς ότι το GravityRAT χρησιμοποιεί έξυπνα κόλπα για να αποφύγει την σύλληψη από εργαλεία ασφαλείας. Το κακόβουλο λογισμικό ελέγχει εάν εκτελείται σε περιβάλλον δοκιμών ασφαλείας μετρώντας τη θερμοκρασία της CPU του υπολογιστή.
Τα περισσότερα συστήματα δοκιμών ασφαλείας δεν μπορούν να αναφέρουν μετρήσεις θερμοκρασίας, επομένως το κακόβουλο λογισμικό γνωρίζει πότε αναλύεται και σταματά να λειτουργεί για να κρύψει την πραγματική του συμπεριφορά.
Η απειλή στοχεύει κυρίως κυβερνητικούς υπαλλήλους της Ινδίας, στρατιωτικό προσωπικό και αμυντικούς εργολάβους, αν και έχει επίσης επιτεθεί σε εκπαιδευτικά ιδρύματα και επιχειρήσεις.
Μεταξύ 2016 και 2018, αναφέρθηκαν περίπου 100 μολύνσεις μεταξύ του αμυντικού και του αστυνομικού προσωπικού στην Ινδία. Πρόσφατες επιθέσεις από το 2022 έως το 2024 δείχνουν ότι οι χάκερ παραμένουν ενεργοί και συνεχίζουν να βελτιώνουν τις μεθόδους τους.
Προηγμένες Τεχνικές Αποφυγής
Το GravityRAT διακρίνεται για την ικανότητά του να αποφεύγει τα συστήματα ασφαλείας. Το κακόβουλο λογισμικό εκτελεί επτά ελέγχους για να προσδιορίσει εάν εκτελείται σε πραγματικό υπολογιστή ή σε εικονικό περιβάλλον δοκιμών.
Αυτοί οι έλεγχοι περιλαμβάνουν την εξέταση της έκδοσης του BIOS του υπολογιστή, την αναζήτηση στοιχείων λογισμικού εικονικοποίησης, την καταμέτρηση του αριθμού των πυρήνων της CPU και την επαλήθευση διευθύνσεων MAC που σχετίζονται με εικονικά συστήματα.
.webp.jpeg "GravityRAT με δυνατότητες απομακρυσμένης πρόσβασης Επίθεση σε συστήματα Windows, Android και macOS")
Η πιο αποτελεσματική προσέγγιση είναι η χρήση των οργάνων διαχείρισης των Windows για τον έλεγχο της θερμοκρασίας. Το κακόβουλο λογισμικό υποβάλλει ερώτημα στην καταχώρηση MSAcpi_ThermalZoneTemperature για να λάβει μετρήσεις θερμοκρασίας CPU.
Δημοφιλείς πλατφόρμες εικονικοποίησης όπως το Hyper-V, το VMware Fusion, το VirtualBox, το KVM και το Xen δεν υποστηρίζουν αυτήν τη δυνατότητα και επομένως επιστρέφουν μηνύματα σφάλματος.
Όταν το GravityRAT αντιμετωπίζει αυτά τα σφάλματα, εντοπίζει ότι δοκιμάζεται και κλείνει πριν αποκαλύψει τον κακόβουλο κώδικα του.
Αυτό καθιστά πολύ δύσκολο για τους ερευνητές ασφάλειας να μελετήσουν το κακόβουλο λογισμικό χρησιμοποιώντας τυπικά εργαλεία.
Μόλις το κακόβουλο λογισμικό επιβεβαιώσει ότι βρίσκεται σε πραγματικό σύστημα, δημιουργεί προγραμματισμένες εργασίες που θα εκτελούνται αυτόματα κατά την εκκίνηση του συστήματος. Αυτό δίνει στο κακόβουλο λογισμικό μακροπρόθεσμη πρόσβαση στη μολυσμένη συσκευή.
Σε συσκευές Android, το GravityRAT μεταμφιέζεται σε εφαρμογές με ονόματα όπως “Speak Freely”, “BingeChat” ή “Chatico” που υποτίθεται ότι προσφέρουν ασφαλή ανταλλαγή μηνυμάτων.
Αυτές οι ψεύτικες εφαρμογές συλλέγουν δεδομένα τηλεφώνου, συμπεριλαμβανομένων στοιχείων κάρτας SIM, μηνυμάτων SMS, αρχείων καταγραφής κλήσεων και αρχείων με επεκτάσεις όπως .jpg, .pdf και .txt.
.webp.jpeg "GravityRAT με δυνατότητες απομακρυσμένης πρόσβασης Επίθεση σε συστήματα Windows, Android και macOS")
Οι κλεμμένες πληροφορίες συσκευάζονται σε αρχεία ZIP και μεταδίδονται σε διακομιστές εντολών και ελέγχου μέσω κρυπτογραφημένων συνδέσεων HTTPS.
Οι χάκερ χρησιμοποιούν ένα εργαλείο που ονομάζεται GravityAdmin για να διαχειρίζονται όλες τις μολυσμένες συσκευές από ένα μέρος, επιτρέποντάς τους να ελέγχουν πολλαπλές καμπάνιες επιθέσεων με κωδικές ονομασίες όπως FOXTROT, CLOUDINFINITY και CHATICO. Αυτή η οργανωμένη προσέγγιση δείχνει ότι το GravityRAT λειτουργεί από εξειδικευμένες ομάδες με σαφείς στόχους και πόρους.
