קמפיין ריגול "חוגג" עשור – וממשיך לגרום נזקים

בעשור שחלף מאז התגלתה לראשונה הרוגלה NetTraveler, המטרות שלה נותרו כשהיו -בעיקר ארגונים דיפלומטיים, ממשלים וארגונים צבאיים.

אלא שבאחרונה, כך עולה ממחקר חדש של קספרסקי (kaspersky), חל זינוק במספר ההתקפות נגד תומכים טיבטים ואויגורים, עם מתקפות אשר משתמשות בגרסה מעודכנת של הדלת האחורית NetTraveler –  עם מנגנון הצפנה חדש. לדבריהם, "זוהי גרסה מעודכנת של מתקפת הדלת האחורית, 'הכוכב האדום'".

בשנת 2014 מציינים ההאקרים המפעילים את קמפיין הריגול הבינלאומי "Operation NetTraveler" עשור לפעילותו. למרות שנראה כי הדוגמיות המוקדמות ביותר של הקמפיין נוצרו ב-2005, הרי שעל פי חוקרי ענקית האבטחה הרוסית, ממצאים מסוימים מצביעים על כך ש- 2004 הייתה למעשה השנה בה החלה הפעילות הזדונית.

לדברי החוקרים, במשך עשור שנים, NetTraveler הופעל כנגד יותר מ-350 יעדים בעלי פרופיל גבוה ב-40 מדינות. השנה, הבחינה מעבדת קספרסקי בזינוק במספר ההתקפות נגד תומכים טיבטים ואויגורים. חוקרי קספרסקי חשפו שבעה שרתי פיקוד ושליטה הממוקמים בהונג קונג, ואחד נוסף בארצות הברית.

בפילוח הממצאים, עולה כי קורבנות NetTraveler הם: פעולות ריגול בעיקר בגופי דיפלומטיה (32%), ממשל (19%), המגזר הפרטי (11%), צבא (9%), תעשיות ותשתיות (7%), תעופה וחלל (6%), מחקר (4%), אקטיביסטים (3%), פיננסים (3%), (3%) IT  בריאות (2%) ועיתונאות (1%).

על פי חוקרי האבטחה, המדובר בשיטת הדבקה של דלת אחורית "מחודשת". באופן מסורתי בקבוצה זו של קוד זדוני, נכתב, "ההתקפות מתחילות עם התקפת פישינג ממוקדת בדואר האלקטרוני נגד אקטיביסטים. לדואר האלקטרוני מצורפים שני קבצים, האחד JPG שאינו זדוני וקובץ .DOC של תוכנת וורד (Word) של מיקרוסופט (Microsoft), אשר כנראה מכיל כלי לניצול פירצה CVE-2012-0158 באופיס (Office) של מיקרוסופט". קובץ זדוני זה, נכתב, "נוצר על מערכת המשתמשת בגרסה של אופיס בסינית".

אם הוא מופעל על גרסה פגיעה של מיקרוסופט אופיס, כלי ניצול הפירצה יזריק למערכת הפגועה את המודול המרכזי – סוס טרויאני לריגול. קובץ ההגדרות הזדוני הוא בעל פורמט מחודש מעט ביחס לדוגמיות ה- NetTraveler הוותיקות. כמובן, שהמפתחים של  NetTraveler נקטו בצעדים כדי לנסות ולהסתיר את הגדרות הקוד הזדוני. לאחר ההזרקה המוצלחת, NetTraveler מחלץ קבצים מסוגים נפוצים כגון DOC, XLS, PPT, RTF ו- PDF. חוקרי קספרסקי זיהו כמה שרתי פיקוד ושליטה. שבעה מתוך שמונה השרתים נרשמו על ידי "שנגחאי מייצ'נג טכנולוג'י" וכתובות ה- IP ממוקמות בהונג קונג. שרת אחד נרשם על ידי Todaynic.com כשה- IP שלו ממוקם בארצות הברית. המומחים ממליצים לחסום את כל מארחי השרתים (קישור) הזדוניים בפיירוול.

"בזמן החקירה של התקפות NetTraveler, חישבנו כי כמות הנתונים הגנובים שאוחסנו בשרתי הפיקוד והשליטה עולים על 22 גיגה-בייט. זהו קמפיין ריגול סייבר מתמשך, ולפי ההתקפות האחרונות נגד אקטיביסטים, אולי הוא יישאר פעיל גם ל-10 שנים נוספות", אמר קורט באומגרטנר, חוקר אבטחה בכיר בקספרסקי.