תקיפה ממוקדת כנגד עיתונאים ומטרות פוליטיות במזרח התיכון

מתקפת סייבר

 

תקיפה ממוקדת כנגד עיתונאים ומטרות פוליטיות במזרח התיכון על ידי קבוצת התקיפה Stealth Falcon

חוקרים גילו "דלת אחורית" בעלת תכונות מעניינות הקשורה לנזקה אשר בשימוש הקבוצה הידועה

קבוצת Stealth Falcon פעילה כבר משנת 2012 וידועה כתוקפת אקטיביסטים פוליטיים ועיתונאים במזרח התיכון.

ישנם אנליסטים אשר מקשרים את הקבוצה לפרויקט רייבן, יוזמה המעסיקה לכאורה פעילי NSA לשעבר.

מידע שנחשף אודות הקבוצה כולל ניתוח של החלק העיקרי בתוכנה הזדונית, דלת אחורית מבוססת PowerShell אשר מופצת באמצעות קובץ נגוע אשר מצורף למייל זדוני.

החוקרים של ESET גילו כעת דלת אחורית חדשה שטרם דווחה בשם Win32/StealthFalcon וראו באמצעותה מספר תקיפות באיחוד האמירויות, ערב הסעודית, תאילנד והולנד.

באחד המקרים אף מדובר בתקיפה של דיפלומט

ממדינה במזרח התיכון.

אבטחת מידע

נמצא כי ישנם קווי דמיון בין הדלת האחורית החדשה מבוססת ה- PowerShell לבין

הדלת האחורית שזוהתה בעבר עם הקבוצה ולכן ניתן להניח כי מדובר בדלתות אחוריות אשר משרתות את אותה קבוצת התקיפה.

הדלת האחורית החדשה משתמשת בטכניקה ייחודית בכדי לתקשר עם שרת השליטה

והבקרה: שירות של Windows שמיועד להעברת קבצים בשם Backround Intelligent Transfer Service (BITS).

העברת המידע באמצעות BITS היא קשה יותר לגילוי וניטור, ומרבית חומות האש יאפשרו את התקשורות הנ"ל ללא חסימה או התראה.

בנוסף לתקשורת הבלתי שגרתית עם שרת השליטה והבקרה, הדלת האחורית משתמשת בטכניקות מתקדמות נוספות על מנת למנוע זיהוי שלה, לאפשר לה להישאר חבויה במערכות ולהקשות על תהליך הניתוח של הקוד שלה.

דילוג לתוכן