Gelsemium APT

„Gelsemium“ yra išplėstinių nuolatinių grėsmių (angl. Advanced Persistent Threat, APT) grupė, kurios kampanijos gali būti atsekamos 2014 m. Jie buvo už kelių išpuolių prieš taikinius Artimuosiuose Rytuose ir Rytų Azijoje, tačiau žymiausias iš jų yra tiekimo grandinės išpuolis prieš „BigNox“. „Gelsemium APT“ nusikaltėliai daugiausia dėmesio skiria keliems sektoriams - vyriausybei, švietimui, elektronikai ir net religinėms organizacijoms. Pagrindinis jų atakų tikslas yra ilgalaikis šnipinėjimas ir duomenų pašalinimas iš pažeistų tinklų.

Paprastai „Gelsemium APT“ ataka vykdoma keliais etapais. Galų gale, jo infekcija baigiasi įdiegus „Gelsevirine“ implantą, kuris aprėpia visas savybes, kurių nusikaltėliams reikėtų norint pasiekti savo tikslus. Tačiau prieš tai jie gali naudoti mažą, specialų „Trojan“ lašintuvą („Gelsemine“) ir krautuvą („Gelsenicine“), kad įsitikintų, jog infekcija baigiasi be kliūčių.

„Gelsevirine“ yra pats įdomiausias dalykas, kurį gauna kūrėjai, kurie yra „Gelsemium APT“ dalis. Šis implantas, viduje vadinamas „MainPlugin“, leidžia vykdyti nuotolinį kodą, taip pat galimybę tyliai išfiltruoti duomenis į „Command-and-Control“ serverį.

Iki šiol ekspertus „Gelsemium APT“ buvo gana sunku ištirti ir išanalizuoti, nes nusikaltėliai nusitaikė į labai mažą aukų skaičių, atsižvelgiant į tai, kad jie šioje srityje buvo daugiau nei septynerius metus. Jų implantų ir infrastruktūros analizė rodo nedidelius sutapimus su kitomis žinomomis APT grupėmis, veikiančiomis Rytų Azijoje ir Viduriniuose Rytuose. Tačiau nėra pakankamai panašumų norint nustatyti, ar „Gelsemium APT“ yra populiaresnių grėsmių veikėjų pogrupis.