クーパー・クインティンは と呼ばれるサイバー傭兵グループの活動を追跡しています ダークカラカル 長年。 2022 年 7 月 28 日、彼は 新しい進行中のハッキング キャンペーン ドミニカ共和国とベネズエラのグループによって。 ハッカーがコマンド アンド コントロール サーバーとして使用していたドメインを分析しているときに、彼は驚くべき発見をしました。
「彼らは 4 か月以上、マルウェアに記載されている重要なドメインの 1 つを登録するのを忘れていたことに気付きませんでした。」 クインティンデジタル著作権グループであるエレクトロニック・フロンティア財団の上級セキュリティ研究者である氏はTechCrunchに語った。
クインティンはすぐに、ドメインを登録してそれを制御できれば、と呼ばれるメカニズムに気付きました。 シンクホール サイバーセキュリティの専門用語で言えば、彼はハッカーの行動、そしてさらに重要なことに、彼らの標的をリアルタイムで把握することができました。
彼はその日の遅くに発見したと言いましたが、すぐに EFF の弁護士に「嫌がらせ」を始め、ドメインを登録してシンクホールにする許可を得ました。 翌日、Quintin はゴーサインを得て、Dark Caracal のハッキング作戦に効果的に侵入しました。
これを書いている時点でも、彼はまだハッカーの活動をひそかに監視しています。 Quintin が知る限り、ハッカーはまだそのことに気付いていません。
「おそらく数日、せいぜい1、2週間程度の情報を得られると思っていました。 数か月の情報が得られるとは思いもしませんでした」と彼は言いました。
陥没穴のおかげでクインティン は、ハッカーが 3 月以降 700 台以上のコンピューターを標的にしていることを発見しました。 昨年は主にドミニカ共和国とベネズエラで。
Quintin が引き継いだドメインは、メインのコマンド アンド コントロール サーバーではなく、3 つのサーバーのうちの 1 つでしたが、重要な目的がありました。 バンドック. ただし、これは、Quintin が IP アドレス以外のターゲットとその ID に関する詳細な情報を取得できなかったことを意味します。
また、Dark Caracal のドメインを制御することを決定したとき、Quintin と彼の同僚は、あまり多くの個人情報を収集したくないと判断しました。
「感染した人々のプライバシーをこれ以上侵害しないようにしたかったのです」と彼は言いました。
その目標を念頭に置いて、彼らは独特の決定を下しました 陥没穴のウェブサイトのプライバシー ポリシーEFF は、ハッキング キャンペーンの被害者を保護するための他の慣行の中で、「SINKHOLE によって収集されたデータを公開または共有する前、または特定の期間内に匿名化するために最善を尽くします」と述べています。
EFF は 2015 年から Dark Caracal を追跡してきました。 ハッキング キャンペーンに関するレポートを公開しました レバノンのターゲットに焦点を当てています。 当時、EFF の研究者は、ハッキング キャンペーンはレバノン政府の命令によるものであると結論付けており、 カザフスタンでの2016年のキャンペーン.
このグループが何年にもわたってさまざまな国のさまざまな被害者を標的にしてきたという事実から、EFF の研究者は、Dark Caracal は伝統的な政府のハッキング グループではなく、政府やおそらく他の組織が関心のある人をハッキングするために雇ったグループであると結論付けました。 .
「彼らはサイバー傭兵グループであると考えており、レバノンやカザフスタンを含む複数の国家のために活動しているようです。 そして今、彼らはラテンアメリカで何らかの仕事をしているようです」とクインティンは言いました. (Quintin と彼の同僚は、Dark Caracal がここで誰のために働いているかを特定できませんでした。)
EFF の研究者は、Dark Caracal が背後にある同じグループであると考えています。 サイバーセキュリティ企業 ESET が 2021 年に報告したキャンペーン、主にベネズエラのコンピューターを標的にしました。 そのレポートに取り組んだ ESET の研究者である Matias Porolli は TechCrunch に、Quintin が彼に助けを求めたときに現在のキャンペーンを調査したと語った。 Porolli 氏は、この最近のキャンペーンは、2021 年に ESET が追跡したのと同じグループによって実行されていると結論付けたと述べました。
しかし、ポロリ氏は、2021年のキャンペーンが実際にダークカラカルによって行われたと結論付けるのに十分なデータがないと述べた. Dark Caracal を指し示すパンくずリストの 1 つは、Bandook と呼ばれるスパイウェア (一般に RAT と呼ばれるリモート アクセス トロイの木馬) の使用です。
「Bandook と同じマルウェアですが、別のグループによって使用される可能性があります」と Porolli 氏は述べています。
しかし、Cooper 氏は、Bandook がオープン ソースではなく、公開されているようにも見えないことを考えると、同じマルウェアの使用は十分に強力なリンクであると考えていると述べています。 さらに、ハッカーは何年にもわたって Bandook をゆっくりと改善しており、スパイウェアにさまざまな機能を追加しており、独自のツールを改善している同じグループであることを示唆しています。
そして、彼らのツールと技術は徐々に良くなっています。
「私たちはここで世界最高のものを扱っているわけではありません。 それでも、彼らは仕事をやり遂げます。 彼らは明らかに大規模なキャンペーンを成功させ、多くのコンピューターに感染させることができます」と Quintin 氏は述べています。 「彼らは多くの仕事をしているので、これらのローエンドの医師に注意を払うことが重要だと思います. そして、彼らは NSO グループのような有名な企業と同じくらい多くの仕事をしていると思いますし、別の意味で同じくらい危険だと思います。」
ボールはダーク カラカルのコートにあります。 クインティンの行動が公になった今、彼らは彼らが潜入されたことを理解するでしょうか?
「もし私が彼らだったら、EFF のブログを読んで自分の名前を探していたでしょう」とクインティンは笑いながら言いました。
ダーク カラカルに関する詳しい情報はありますか? それとも、他の傭兵ハッキング グループに関する情報をお持ちですか? あなたからの御一報をお待ちしています。 Lorenzo Franceschi-Bicchierai には、Signal (+1 917 257 1382)、Wickr、Telegram、Wire @lorenzofb、またはメール [email protected] で安全に連絡できます。 SecureDrop 経由で TechCrunch に連絡することもできます。