Цели GREF достаточно разносторонние — от подрядчиков Пентагона до электронных и инженерных компаний, а также фонды и неправительственные организации, особенно те, которые имеют интересы в Азии.
Довольно часто группировка использует следующие IP для своих командных серверов: 210.211.31.x (China Virtual Telecom — Гонконг), 180.149.252.x (Asia Datacenter — Гонконг) и 120.50.47.x (Qala — Сингапур), что наводит на некоторые подозрения о причастности Китая.
Ventir
Бэкдор для Mac с двумя кейлогерами на борту. Казалось бы, зачем два? В случае отсутствия прав root на диск из секции _keylog в области данных дроппе-ра сохранялся файл под именем EventMonitor, реализация которого использовала API-функции Carbon Event Manager.
Следует отметить, что этот способ не всегда работает корректно. Например, для последней на данный момент версии OS X 10.10 логируются только нажатия клавиш-модификаторов (Ctrl, Alt, Shift, etc.) и все, так как этот интерфейс считается устаревшим.
- Gid-Diesel: дайджест статей №909 -> 09.12.13
- Победители премии Blue Drop Awards по сайтам -> 20.12.10
- Gid-Ruukki: дайджест статей №585 -> 26.05.14
- Gid-To11: дайджест статей №801 -> 23.08.10
- Награда Blue Drop за достижения в области веб-разработок -> 05.09.10
- Lingid-Rails: дайджест статей №433 -> 21.06.13
- Победитель в категории самый интересный сайт на Drupal -> 02.01.13
- Lin-Zemlyanin: дайджест статей №694 -> 03.05.10
- Lin-Racer: дайджест статей №906 -> 27.09.14
- Gid-Moby: дайджест статей №949 -> 15.09.11
Этот второй кейлогер базируется на open source проекте LogKext, исходники которого доступны на GitHub. Драйвер загружался в ядро при помощи стандартной утилиты OS X kextload.
Как видно, keylogger работал независимо от бэкдора, он сохранял лог в файл Library/.local/.logfile, который злоумышленники могли загрузить на свой C&C-сервер по команде.
Как уже упоминалось, способ с использованием драйвера гораздо более универсальный и надежный, но требует прав root.
- Победитель: Лучший бизнес-сайт, разработанный с Drupal -> 15.01.10
- Lin-Wowankz: дайджест статей №965 -> 21.05.13
- Gid-Luck: дайджест статей №946 -> 21.10.13
- Gid-Jeenbekov: дайджест статей №977 -> 05.09.12
- Gid-Aliya69: дайджест статей №917 -> 27.07.11
Вероятно, авторы предполагали, что работа с правами root будет основным режимом работы их трояна.
Не исключено, что дроппер внедрялся на компьютер при помощи родительского приложения, которое могло использовать эксплойты для повышения привилегий.
К сожалению, механизмы распространения Ventir пока остаются невыясненными.