נחשף קמפיין ריגול בסייבר נגד מטרות בהודו ובפקיסטן

באחרונה נחשף קמפיין ריגול בסייבר, שכחלק ממנו הופצו דלתות אחוריות מסוג CapraRAT באמצעות תוכנות "מאובטחות", לכאורה, המשמשות להעברת מסרים מידיים באנדרואיד – שהיו נגועות בסוסים טרויאניים והדליפו מידע רגיש. הקמפיין הופנה בעיקר כלפי גורמים צבאיים ופוליטיים בשתי המדינות היריבות הודו ופקיסטן.

לפי חוקרי ESET, שחשפו את הקמפיין, זה החל בסביבות יולי האחרון – והוא עדיין פעיל. מסע הריגול בסייבר מופעל על ידי קבוצת התקיפה Transparent Tribe. המטרות העיקריות של הקמפיין הן משתמשי אנדרואיד הודיים ופקיסטניים – ככל הנראה, כאמור, כאלה שהם בעלי רקע צבאי או פוליטי. חוקרי ESET הצליחו לאתר יותר מ-150 מקורבנות המתקפה, רובם משתי מדינות אלה, אך גם מרוסיה, עומאן ומצרים.

המתקפה החלה בתרמית "מלכודת דבש" רומנטית, אז ההאקרים יצרו קשר עם חלק מהקורבנות בפלטפורמה כלשהי, ולאחר מכן הם שוכנעו לעבור לאפליקציות "בטוחות יותר", שבפועל לא היו בטוחות, מאחר שהוטמנו בהן רוגלות.

MeetsApp או MeetUp

"הקורבנות שוכנעו להוריד את אפליקציית MeetsApp או MeetUp", אמר לוקאס סטפנקו, חוקר ESET שגילה את הקמפיין. "ראינו מקרים אחרים בעבר שבהם פעילי Transparent Tribe השתמשו ב-'מלכודות דבש' כאלה נגד המטרות שלהם. ברוב המקרים, איתור של מספר טלפון נייד או כתובת מייל, שבאמצעותם ניתן ליצור את המגע הראשוני, זה לא דבר קשה במיוחד".

סטפנקו הוסיף כי "זיהינו את הקמפיין הזה בזמן שניתחנו דגימה של נוזקה אחרת, שעליה דווח בטוויטר. בנוסף לפונקציונליות הצ'ט, שמגיעה במקור עם אפליקציות MeetUp ו-MeetsApp, הגרסאות הנגועות כללו גם קוד זדוני שאותו זיהינו כדלת אחורית. Transparent Tribe, שמוכרת גם כ-APT36, היא קבוצת ריגול בסייבר שידועה בשימוש שלה בדלת האחורית CapraRAT. זו יכולה לצלם את המסך או לצלם תמונות דרך המצלמה, להקליט שיחות טלפון ורעשי רקע, ולהדליף כל סוג של מידע רגיש. בנוסף, הדלת האחורית יכולה לקבל פקודות להורדת קבצים, הוצאת שיחות ושליחת מסרונים.CapraRAT היא דלת אחורית שנשלטת מרחוק, ומבצעת פקודות שמתקבלות משרת השליטה והבקרה".

החוקרים סיכמו בציינם ששתי האפליקציות מופצות באמצעות אתרי אינטרנט, שמתארים אותן כ-"שירות מאובטח להעברת הודעות ולשיחות קול", משמע – הם מתחזים למרכזי ההפצה הרשמיים של האפליקציות הללו. לפני השימוש באפליקציה, הקורבנות נדרשים ליצור חשבונות שמקושרים למספר הטלפון שלהם ודורשים אימות באמצעות מסרון. לאחר שהחשבון נוצר, האפליקציה מבקשת הרשאות נוספות, כמו גישה לאנשי קשר, ליומני שיחות, להודעות SMS, לאחסון חיצוני ולהקלטת קול.