Cooper Quintin hat verfolgt die Aktivitäten einer Cyber-Söldnergruppe namens Dunkler Karakal jahrelang. Am 28. Juli 2022 sagte er, er habe Spuren von a entdeckt neue laufende Hacking-Kampagne von der Gruppe in der Dominikanischen Republik und Venezuela. Während er die Domains analysierte, die die Hacker als Command-and-Control-Server nutzten, machte er eine überraschende Entdeckung.
„Über vier Monate lang hatten sie nicht bemerkt, dass sie vergessen hatten, eine der in ihrer Malware aufgeführten Schlüsseldomänen zu registrieren.“ Quintinder ein leitender Sicherheitsforscher bei der Digital Rights Group Electronic Frontier Foundation ist, gegenüber Tech.
Quintin erkannte schnell, dass, wenn er die Domain registrieren und die Kontrolle darüber übernehmen könnte – ein Mechanismus namens Versinken in Cybersecurity-Jargon – er konnte sich einen Echtzeit-Einblick in die Aktionen der Hacker und, was noch wichtiger ist, in ihre Ziele verschaffen.
Er sagte, er habe die Entdeckung spät am Tag gemacht, aber er fing sofort an, die Anwälte der EFF zu „drangsalieren“, um die Erlaubnis zu erhalten, die Domain zu registrieren und sie zu versenken. Am nächsten Tag bekam Quintin grünes Licht und infiltrierte effektiv die Hacking-Operation von Dark Caracal.
Während ich dies schreibe, überwacht er immer noch heimlich die Aktivitäten der Hacker. Und soweit Quintin das beurteilen kann, müssen die Hacker das noch erkennen.
„Ich dachte, ich würde vielleicht ein paar Tage lang Informationen bekommen, vielleicht höchstens ein oder zwei Wochen. Ich hätte nie gedacht, dass ich mehrere Monate an Informationen bekommen würde“, sagte er.
Danke an die Doline, Quintin festgestellt, dass die Hacker seit März mehr als 700 Computer angegriffen haben des letzten Jahres, vor allem in der Dominikanischen Republik und Venezuela.
Die Domain, die Quintin übernahm, war nicht der Haupt-Command-and-Control-Server – es war einer von dreien – aber sie hatte dennoch ein wichtiges Ziel: das Herunterladen zusätzlicher Funktionen für die Malware, genannt Bandbuch. Das bedeutete jedoch, dass Quintin außer IP-Adressen keine detaillierten Informationen über die Ziele und ihre Identitäten erhielt.
Als sie sich entschieden, die Kontrolle über die Domäne von Dark Caracal zu übernehmen, beschlossen Quintin und seine Kollegen, dass sie nicht zu viele persönliche Informationen sammeln wollten.
„Wir wollten sicherstellen, dass wir die Privatsphäre von infizierten Personen nicht weiter verletzen“, sagte er.
Mit diesem Ziel vor Augen trafen sie die eigentümliche Entscheidung eine Datenschutzerklärung auf der Sinkhole-Websitedie besagt, dass die EFF „unser Bestes tun wird, um alle von SINKHOLE gesammelten Daten vor der Veröffentlichung oder Weitergabe oder innerhalb eines bestimmten Zeitrahmens zu anonymisieren“, neben anderen Praktiken, die die Opfer der Hacking-Kampagne schützen sollen.
Die EFF verfolgt Dark Caracal seit 2015. Im Jahr 2020, Quintin und EFFs Direktorin für Cybersicherheit, Eva Galperin veröffentlichte einen Bericht über eine Hacking-Kampagne konzentrierte sich auf libanesische Ziele. Die EFF-Forscher kamen damals zu dem Schluss, dass die Hacking-Kampagne auf Geheiß der libanesischen Regierung erfolgte, und brachten sie in Verbindung mit a Kampagne 2016 in Kasachstan.
Die Tatsache, dass die Gruppe im Laufe der Jahre verschiedene Opfer in verschiedenen Ländern ins Visier genommen hat, ließ die EFF-Forscher zu dem Schluss kommen, dass Dark Caracal keine traditionelle Hackergruppe der Regierung ist, sondern eine Gruppe, die von Regierungen und möglicherweise anderen Organisationen angeheuert wird, um zu hacken, an wem auch immer sie interessiert sind .
„Wir denken, dass sie eine Cyber-Söldnergruppe sind, sie scheinen für mehrere Nationalstaaten gearbeitet zu haben, darunter Libanon und Kasachstan. Und jetzt scheint es, als würden sie in Lateinamerika arbeiten“, sagte Quintin. (Quintin und seine Kollegen konnten nicht feststellen, für wen Dark Caracal hier arbeitet.)
Die EFF-Forscher glauben, dass hinter Dark Caracal dieselbe Gruppe steckt eine Kampagne, über die das Cybersicherheitsunternehmen ESET im Jahr 2021 berichtete, die hauptsächlich auf Computer in Venezuela abzielte. Matias Porolli, ein Forscher bei ESET, der an diesem Bericht gearbeitet hat, sagte gegenüber Tech, dass er sich mit der aktuellen Kampagne befasst habe, als Quintin ihn um Hilfe gebeten habe. Porolli sagte, er sei zu dem Schluss gekommen, dass diese jüngste Kampagne von derselben Gruppe durchgeführt wird, die ESET im Jahr 2021 verfolgt hat.
Porolli sagte jedoch, sie hätten nicht genügend Daten, um zu dem Schluss zu kommen, dass die Kampagne 2021 tatsächlich von Dark Caracal durchgeführt wurde. Einer der Brotkrümel, der auf Dark Caracal hinweist, ist die Verwendung einer Spyware – oder eines Fernzugriffstrojaners, allgemein als RAT bezeichnet – namens Bandook.
„Es ist dieselbe Malware, Bandook, aber sie könnte von verschiedenen Gruppen verwendet werden“, sagte Porolli.
Cooper sagte jedoch, dass er glaubt, dass die Verwendung derselben Malware eine ausreichend starke Verbindung darstellt, da Bandook weder Open Source ist noch offen verfügbar zu sein scheint. Außerdem haben die Hacker Bandook im Laufe der Jahre langsam verbessert und der Spyware verschiedene Funktionen hinzugefügt, was darauf hindeutet, dass es sich um dieselbe Gruppe handelt, die ihre eigenen Tools verbessert.
Und ihre Werkzeuge und Techniken werden langsam besser.
„Wir haben es hier nicht gerade mit den Besten der Welt zu tun. Aber trotzdem erledigen sie ihre Arbeit. Sie sind eindeutig in der Lage, große Kampagnen durchzuführen und viele Computer zu infizieren“, sagte Quintin. „Ich denke, es ist wichtig, diesen niederen Ärzten Aufmerksamkeit zu schenken, weil sie viel Arbeit investieren. Und ich denke, sie investieren genauso viel Arbeit wie die bekannteren Typen wie die NSO Group, und ich denke, dass sie auf andere Weise genauso gefährlich sind.“
Der Ball liegt nun bei Dark Caracal. Werden sie herausfinden, dass sie infiltriert wurden, jetzt wo Quintins Handlungen öffentlich sind?
„Wenn ich sie wäre, würde ich den EFF-Blog lesen und nach meinem Namen suchen“, sagte Quintin lachend.
Haben Sie weitere Informationen über Dark Caracal? Oder haben Sie Informationen über andere Söldner-Hacking-Gruppen? Wir würden uns freuen, von Ihnen zu hören. Sie können Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Wickr, Telegram und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.