מעבדת קספרסקי: קבוצת הריגול Chafer תוקפת שגרירויות עם כלי ריגול "ביתי"

 

 

חוקרי מעבדת קספרסקי זיהו מספר ניסיונות להדבקה של ישויות דיפלומטיות זרות באירן שנעשו באמצעות כלי ריגול "ביתי". נראה שההתקפות משתמשות בגרסה מעודכנת של הדלת האחורית Remexi. במקביל, נעשה שימוש גם מספר כלים לגיטימיים. הדלת האחורית Remexi מקושרת לקבוצת ריגול הסייבר דוברת הפרסית הידועה כ-Chafer, שבעבר נקשרה לאירועי ריגול אחר גורמים ספציפיים במזרח התיכון. התקיפה של שגרירויות מצביעה על מיקוד חדש בפעילות הקבוצה.

 

פעילות הקבוצה מראה כיצד גורמי איום באזורים מתפתחים בונים קמפיינים כנגד מטרות בעלות עניין באמצעות כלים פשוטים יחסית, המפותחים בתוך הקבוצה, בשילוב עם כלים הזמינים לכל. במקרה זה, התוקפים השתמשו בגרסה משופרת של הדלת האחורית Remexi – כלי המאפשר ניהול מרחוק של מכונת הקורבן.

 

Remexi זוהה לראשונה ב-2015, כשהיה בשימוש על ידי קבוצת ריגול סייבר בשם Chafer במסגרת קמפיין ריגול כנגד גורמים וארגונים במזרח התיכון. העובדה שהדלת האחורית שמשמשת בקמפיין חדש היא בעלת דמיון בקוד לדוגמיות של Remexi, יחד עם רשימת המטרות שלה, מביאה את חוקרי מעבדת קספרסקי לקשר את הקמפיין הנוכחי לקבוצת Chafer ברמת ביטחון בינונית.

 

הקוד הזדוני החדש של Remexi שזוהה כעת מסוגל, בין היתר, להפעיל פקודות מרחוק, וללכוד צילומי מסך, נתוני דפדפן, כולל הרשאות משתמש, נתונים והיסטוריה של log-in, וכל סוג של טקסט מוקלד. הנתונים שנגנבים מחולצים באמצעות אפליקציית מיקרוסופט לגיטימית לשימוש (Microsoft Background Intelligent Transfer Service – BITS) – רכיב בחלונות שתוכנן כדי לאפשר עדכונים ברקע של המערכת. מגמת השילוב בין קוד זדוני לבין קוד  לגיטימי מסייעת לתוקפים לחסוך זמן ומשאבים כאשר הם יוצרים את הקוד הזדוני וגם להקשות על ייחוס של התקיפה אליהם.

 

"כאשר אנו מדברים על קמפיינים של ריגול בגיבוי מדינה, אנשים לעיתים קרובות מדמיינים פעילות מתקדמת עם כלים מורכבים שפותחו על ידי מומחים. עם זאת, האנשים מאחורי הקמפיין המדובר נראים יותר כמו מנהלי מערכת מאשר שחקני איום מתוחכמים: הם יודעים כיצד לכתוב קוד, אבל הקמפיין שלהם מסתמך יותר על שימוש יצירתי בכלים קיימים מאשר על מאפיינים חדשים ומתקדמים או על ארכיטקטורה מתוחכמת של הקוד. עם זאת, אפילו כלים פשוטים יחסית יכולים לגרום נזק משמעותי, לכן אנו קוראים לארגונים להגן על המידע והמערכות הרגישים שלהם מפני כל רמות האיום, ולהשתמש במודיעין איומים כדי להבין כיצד אופק האיומים מתפתח", אמר דניס לגזו, חוקר אבטחה במעבדת קספרסקי.

מוצרי מעבדת קספרסקי מזהים את הקוד הזדוני המעודכן של Remexi כ-Trojan.Win32.Remexi ו- Trojan.Win32.Agent.

כדי להגן על עצמכם מפני כלי ריגול:

–          השתמשו בפתרון אבטחה מוכח לרמה של ארגונים, עם יכולות נגד התקפות ממוקדות ומודיעין איומים

–          קדמו יוזמות לבניית מודעות לאבטחה כדי לספק לעובדים שליטה על היכולת לזהות הודעות חשודות. דואר אלקטרוני הוא נקודת פריצה נפוצה במסגרת התקפות ממוקדות

–          ספקו לצוות האבטחה גישה למודיעין איומים עדכני, כדי להישאר מעודכנים בכל הטקטיקות והכלים בהם משתמשים עברייני סייבר, וכדי לשפר את בקרי האבטחה שכבר נמצאים בשימוש.

דילוג לתוכן