רוחאני לא מרפה: נחשפה קבוצה התוקפת שגרירויות עם כלי ריגול "ביתי"
על פי חוקרי מעבדת קספרסקי, שחשפה את קבוצת הריגול האירנית Chafer, זוהו כמה ניסיונות להדבקה של ישויות דיפלומטיות זרות באירן באמצעות הכלי, המאפשר ניהול מרחוק של מכונת הקורבן המותקף
זוהו כמה ניסיונות להדבקה של ישויות דיפלומטיות זרות באירן. אלו נעשו באמצעות כלי ריגול "ביתי". על פי חוקרי מעבדת קספרסקי, שחשפו את פעילות התקיפה, ההתקפות משתמשות בגרסה מעודכנת של הדלת האחורית Remexi. במקביל, נעשה שימוש גם בכמה כלים לגיטימיים. הדלת האחורית
Remexi, מקושרת לקבוצת ריגול הסייבר דוברת הפרסית, Chafe. בעבר היא נקשרה לאירועי ריגול אחר גורמים ספציפיים במזרח התיכון. לפי החוקרים, "התקיפה של שגרירויות מצביעה על מיקוד חדש בפעילות הקבוצה".
פעילות הקבוצה מראה כיצד גורמי איום באזורים מתפתחים, בונים קמפיינים כנגד מטרות בעלות עניין – ועושים זאת באמצעות כלים פשוטים יחסית, המפותחים בתוך הקבוצה, בשילוב עם כלים הזמינים לכל. במקרה זה, התוקפים השתמשו בגרסה משופרת של הדלת האחורית
Remexi, כלי המאפשר ניהול מרחוק של מכונת הקורבן.
Remexi זוהה בראשונה ב-2015, כשהיה בשימוש על ידי קבוצת ריגול סייבר בשם Chafe – במסגרת קמפיין ריגול כנגד גורמים וארגונים במזרח התיכון. העובדה שהדלת האחורית שמשמשת בקמפיין חדש היא בעלת דמיון בקוד לדוגמיות של Remexi, יחד עם רשימת המטרות שלה, הביאה את חוקרי מעבדת קספרסקי לקשר את הקמפיין הנוכחי לקבוצת Chafer ב"רמת ביטחון בינונית".
הקוד הזדוני החדש של Remexi שזוהה כעת, מסוגל, בין היתר, להפעיל פקודות מרחוק, וללכוד צילומי מסך, נתוני דפדפן, כולל הרשאות משתמש, נתונים והיסטוריה של לוג-אין, וכל סוג של טקסט מוקלד. הנתונים שנגנבים מחולצים באמצעות אפליקציית מיקרוסופט לגיטימית לשימוש (Microsoft Background Intelligent Transfer Service – BITS).
זהו רכיב בחלונות, שתוכנן כדי לאפשר עדכונים ברקע של המערכת. מגמת השילוב בין נוזקה לבין קוד לגיטימי, מסייעת לתוקפים לחסוך זמן ומשאבים כאשר הם יוצרים את הקוד הזדוני – וגם להקשות על ייחוס של התקיפה אליהם.
לדברי דניס לגזו, חוקר אבטחה במעבדת קספרסקי, "כאשר אנו מדברים על קמפיינים של ריגול בגיבוי מדינה, אנשים לעיתים קרובות מדמיינים פעילות מתקדמת, עם כלים מורכבים שפותחו על ידי מומחים. יחד עם זאת, האנשים מאחורי הקמפיין המדובר נראים יותר כמו מנהלי מערכת מאשר שחקני איום מתוחכמים: הם יודעים כיצד לכתוב קוד אבל הקמפיין שלהם מסתמך יותר על שימוש יצירתי בכלים קיימים, מאשר על מאפיינים חדשים ומתקדמים או על ארכיטקטורה מתוחכמת של הקוד".
למרות זאת, הוסיף לגזו, "אפילו כלים פשוטים יחסית יכולים לגרום נזק משמעותי. לכן, אנו קוראים לארגונים להגן על המידע והמערכות הרגישים שלהם מפני כל רמות האיום, ולהשתמש במודיעין איומים כדי להבין כיצד אופק האיומים מתפתח".
תגובות
(0)