Xtreme RAT מטרות זדוניות ארה"ב, בריטניה, ממשלות אחרות

קבוצת האקרים שפגעה באחרונה במחשבי משטרת ישראל עם התוכנה הזדונית של Xtreme RAT, גם היא מכוונת למוסדות ממשלתיים מארה"ב, בריטניה ו מדינות אחרות, על פי חוקרים של ספק אנטי וירוס Trend Micro.

התוקפים שלחו הודעות נוכלים עם קובץ מצורף.RAR לכתובות דוא"ל בתוך סוכנויות ממשלתיות ממוקד. הארכיון הכיל קובץ זדוני שמתחזה למסמך Word, אשר בעת הפעלתו התקינו את התוכנה הזדונית של Xtreme RAT ופתח מסמך דמה עם דיווח חדשותי על מתקפת טילים פלסטינית.

ההתקפה נתגלתה בסוף אוקטובר המשטרה הישראלית סגרה את רשת המחשבים שלה כדי לנקות את התוכנה הזדונית מהמערכות שלה. כמו רוב תוכניות גישה מרחוק טרויאני (RATs), Xtreme RAT נותן לתוקפים שליטה על המכונה נגוע ומאפשר להם להעלות מסמכים וקבצים אחרים בחזרה לשרתים שלהם. [

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות מהמחשב Windows שלך]

לאחר ניתוח של דוגמאות של תוכנות זדוניות ששימשו בהתקפת משטרת ישראל, חשפו חוקרי האבטחה של נורמן, נורמן, שורה של התקפות ישנות יותר מתחילת השנה ובשלהי 2011, אשר כוונו לארגונים בישראל ובשטחים הפלסטיניים. ממצאי המחקר ציירו את התמונה של מבצע cyberespionage של שנה שבוצע על ידי אותה קבוצת תוקפים באזור.

עם זאת, על פי נתונים חדשים שנחשפו על ידי חוקרים מ- Trend Micro, היקף הקמפיין נראה הרבה יותר גדול. > "גילינו שתי הודעות דוא"ל שנשלחו מ- {BLOCKED}[email protected] ב -11 בנובמבר וב- 8 בנובמבר, אשר התמקדו בעיקר לממשלת ישראל", אמר חוקר האיום של טרנד מיקרו, נרט וילנוב, במאמר שפורסם מוקדם יותר השבוע. "אחת מהודעות האימייל נשלחה ל -294 כתובות דוא"ל". "בעוד שרובן המכריע של האימיילים נשלחו לממשלת ישראל ב- mfa.gov.il". gov.il 'ו' mod.gov.il '[משרד הביטחון הישראלי], כמות משמעותית נשלחה גם לממשלת ארצות הברית ב'מדינה'. כתובת הדואר האלקטרוני של משרד החוץ האמריקאי, "אמר וילנוב. "מטרות אחרות של ממשלת ארה"ב כללו גם 'senate.gov' [ארה"ב הסנאט] ו 'house.gov' [כתובות בית הנבחרים של ארה"ב] דוא"ל.הדוא"ל נשלח גם 'usaid.gov' [ארה"ב הסוכנות לפיתוח בינלאומי] דוא"ל כתובות ".

רשימת היעדים כללה גם את 'fco.gov.uk' (משרד החוץ הבריטי) ואת כתובת הדואר האלקטרוני של משרד החוץ של טורקיה (mfa.gov.tr) וכן כתובות מממשל מוסדות בסלובניה, מקדוניה, ניו זילנד ולטביה. כמה ארגונים לא ממשלתיים כמו ה- BBC ומשרד נציג הקוורטט, היו גם הם ממוקדים.

מניעים לא ברור

החוקרים Trend Micro השתמשו metadata מתוך מסמכי דמה כדי לעקוב אחר כמה מחבריהם לפורום מקוון. אחד מהם השתמש בכינוי "ארט" כדי לדבר על אפליקציות זדוניות שונות, כולל DarkComet ו- Xtreme RAT או להחליף מוצרים ושירותים עם חברים אחרים בפורום, אמר וילינוב. עם זאת, המניעים של התוקפים אינם ברורים. אם אחרי הדו"ח הנורמני, אפשר היה לשער כי לתוקפים יש אג'נדה פוליטית שקשורה לישראל ולשטחים הפלסטיניים, לאחר הממצאים האחרונים של טרנד מיקרו. זה קשה יותר לנחש מה מניע אותם. "המניעים שלהם אינם ברורים בשלב זה, לאחר שגילו את ההתפתחות האחרונה של מיקוד ארגונים אחרים במדינה", אמר איוון מקאלינטאל, חוקר האיומים הבכיר ומבשר הביטחון ב- Trend Micro, ביום שישי בדוא"ל.

טרנד מיקרו לא השתלטה על שרתי פקודה ושליטה (C & C) המשמשים את התוקפים, כדי לקבוע אילו נתונים נגנבים מהמחשבים הנגועים, אמר החוקר, והוסיף כי אין כוונה לעשות זאת בשלב זה.

חברות אבטחה עובדות לעיתים עם ספקי תחום כדי לציין שמות דומיין C & C המשמשים את התוקפים לכתובות IP בשליטתם. תהליך זה ידוע בשם "sinkholing" ומשמש כדי לקבוע כמה מחשבים היו נגועים באיום מסוים ואיזה מידע המחשבים האלה שולחים חזרה לשרתים.

"יצרנו קשר ועובדים עם CERT [צוותי תגובת חירום של המחשב] עבור המדינות המסוכנות, ונראה אם ​​אכן נגרם נזק ", אמר מקלינטאל. "אנחנו עדיין עוקבים באופן פעיל אחר מסע הפרסום נכון לעכשיו ונפרסם עדכונים בהתאם."