FANGET: Patchwork lastet ned eget virus og avslørte egne metoder.
FANGET: Patchwork lastet ned eget virus og avslørte egne metoder.

Hacket seg selv ved uhell

Indiske hackere installerte sin egen malware, noe som ga vesentlig informasjon til sikkerhetsselskap.

Publisert Sist oppdatert

Den indiske gruppen kalt Patchwork har vært aktive siden 2015 med såkalte spear phishing angrep, der epost inneholder virus. Malwarebytes, et internasjonalt sikkerhetsselskap, skriver på sin blogg at det ironisk nok er fordi Patchwork infiserte seg selv med eget virus at de fått informasjon om dem. Malwarebytes har sett på loggede tastetrykk og skjermbilder av Patchworks datamaskiner og virtuelle maskiner.

Etterligner offentlige myndigheter

Patchwork har brukt RFT-filer med en variant av BADNEWS RAT. BADNEWS er en variant av Ragnatela, som gjør at angriperne kan kjøre kommandoer gjennom cmd, logge tastetrykk, fange skjermbilder, lagre informasjon om offerets maskin på spesifikke tidspunkter, inkludert filer og applikasjoner. Det er også mulig for angriperen å laste opp egne filer til offerets maskin. RAT står for Remote Administration Trojan og betyr i dette tilfellet at Patchwork later som de sender dokumenter fra pakistanske myndigheter.

Flere universiteter rammet

Malwarebytes har fått tilgang på noen av ofrene til Patchwork fordi de infiserte seg selv med eget virus. Disse inkluderer det pakistanske forsvarsdepartementet, National Defense University i Islamabad, Fakultet for Biologi ved UVAS-universitetet i Lahore, og flere andre forskningssenter for biologi og molekulær medisin.

Avslutningsvis kunne også Malwarebytes se at da Patchwork angrep seg selv så var det overskyet vær og 19 grader, samt at angriperne ikke hadde oppdatert Java. Men de skriver også med en mer seriøs tone at Patchwork bruker VPN Secure og Cyberghost til å maskere egen IP-adresse.