קבוצת הריגול Chafer תוקפת שגרירויות עם כלי ריגול "ביתי"
עמי רוחקס דומבה
| 13/02/2019
מעבדת קספרסקי
חוקרי מעבדת קספרסקי זיהו מספר ניסיונות להדבקה של ישויות דיפלומטיות זרות באירן שנעשו באמצעות כלי ריגול "ביתי". נראה שההתקפות משתמשות בגרסה מעודכנת של הדלת האחורית Remexi. במקביל, נעשה שימוש גם מספר כלים לגיטימיים. הדלת האחורית Remexi מקושרת לקבוצת ריגול הסייבר דוברת הפרסית הידועה כ-Chafer, שבעבר נקשרה לאירועי ריגול אחר גורמים ספציפיים במזרח התיכון. התקיפה של שגרירויות מצביעה על מיקוד חדש בפעילות הקבוצה.
פעילות הקבוצה מראה כיצד גורמי איום באזורים מתפתחים בונים קמפיינים כנגד מטרות בעלות עניין באמצעות כלים פשוטים יחסית, המפותחים בתוך הקבוצה, בשילוב עם כלים הזמינים לכל. במקרה זה, התוקפים השתמשו בגרסה משופרת של הדלת האחורית Remexi – כלי המאפשר ניהול מרחוק של מכונת הקורבן.
Remexi זוהה לראשונה ב-2015, כשהיה בשימוש על ידי קבוצת ריגול סייבר בשם Chafer במסגרת קמפיין ריגול כנגד גורמים וארגונים במזרח התיכון. העובדה שהדלת האחורית שמשמשת בקמפיין חדש היא בעלת דמיון בקוד לדוגמיות של Remexi, יחד עם רשימת המטרות שלה, מביאה את חוקרי מעבדת קספרסקי לקשר את הקמפיין הנוכחי לקבוצת Chafer ברמת ביטחון בינונית.
הקוד הזדוני החדש של Remexi שזוהה כעת מסוגל, בין היתר, להפעיל פקודות מרחוק, וללכוד צילומי מסך, נתוני דפדפן, כולל הרשאות משתמש, נתונים והיסטוריה של log-in, וכל סוג של טקסט מוקלד. הנתונים שנגנבים מחולצים באמצעות אפליקציית מיקרוסופט לגיטימית לשימוש (Microsoft Background Intelligent Transfer Service – BITS) – רכיב בחלונות שתוכנן כדי לאפשר עדכונים ברקע של המערכת. מגמת השילוב בין קוד זדוני לבין קוד לגיטימי מסייעת לתוקפים לחסוך זמן ומשאבים כאשר הם יוצרים את הקוד הזדוני וגם להקשות על ייחוס של התקיפה אליהם.
"כאשר אנו מדברים על קמפיינים של ריגול בגיבוי מדינה, אנשים לעיתים קרובות מדמיינים פעילות מתקדמת עם כלים מורכבים שפותחו על ידי מומחים. עם זאת, האנשים מאחורי הקמפיין המדובר נראים יותר כמו מנהלי מערכת מאשר שחקני איום מתוחכמים: הם יודעים כיצד לכתוב קוד, אבל הקמפיין שלהם מסתמך יותר על שימוש יצירתי בכלים קיימים מאשר על מאפיינים חדשים ומתקדמים או על ארכיטקטורה מתוחכמת של הקוד. עם זאת, אפילו כלים פשוטים יחסית יכולים לגרום נזק משמעותי, לכן אנו קוראים לארגונים להגן על המידע והמערכות הרגישים שלהם מפני כל רמות האיום, ולהשתמש במודיעין איומים כדי להבין כיצד אופק האיומים מתפתח", אמר דניס לגזו, חוקר אבטחה במעבדת קספרסקי.
עמי רוחקס דומבה
| 13/02/2019
מעבדת קספרסקי
חוקרי מעבדת קספרסקי זיהו מספר ניסיונות להדבקה של ישויות דיפלומטיות זרות באירן שנעשו באמצעות כלי ריגול "ביתי". נראה שההתקפות משתמשות בגרסה מעודכנת של הדלת האחורית Remexi. במקביל, נעשה שימוש גם מספר כלים לגיטימיים. הדלת האחורית Remexi מקושרת לקבוצת ריגול הסייבר דוברת הפרסית הידועה כ-Chafer, שבעבר נקשרה לאירועי ריגול אחר גורמים ספציפיים במזרח התיכון. התקיפה של שגרירויות מצביעה על מיקוד חדש בפעילות הקבוצה.
פעילות הקבוצה מראה כיצד גורמי איום באזורים מתפתחים בונים קמפיינים כנגד מטרות בעלות עניין באמצעות כלים פשוטים יחסית, המפותחים בתוך הקבוצה, בשילוב עם כלים הזמינים לכל. במקרה זה, התוקפים השתמשו בגרסה משופרת של הדלת האחורית Remexi – כלי המאפשר ניהול מרחוק של מכונת הקורבן.
Remexi זוהה לראשונה ב-2015, כשהיה בשימוש על ידי קבוצת ריגול סייבר בשם Chafer במסגרת קמפיין ריגול כנגד גורמים וארגונים במזרח התיכון. העובדה שהדלת האחורית שמשמשת בקמפיין חדש היא בעלת דמיון בקוד לדוגמיות של Remexi, יחד עם רשימת המטרות שלה, מביאה את חוקרי מעבדת קספרסקי לקשר את הקמפיין הנוכחי לקבוצת Chafer ברמת ביטחון בינונית.
הקוד הזדוני החדש של Remexi שזוהה כעת מסוגל, בין היתר, להפעיל פקודות מרחוק, וללכוד צילומי מסך, נתוני דפדפן, כולל הרשאות משתמש, נתונים והיסטוריה של log-in, וכל סוג של טקסט מוקלד. הנתונים שנגנבים מחולצים באמצעות אפליקציית מיקרוסופט לגיטימית לשימוש (Microsoft Background Intelligent Transfer Service – BITS) – רכיב בחלונות שתוכנן כדי לאפשר עדכונים ברקע של המערכת. מגמת השילוב בין קוד זדוני לבין קוד לגיטימי מסייעת לתוקפים לחסוך זמן ומשאבים כאשר הם יוצרים את הקוד הזדוני וגם להקשות על ייחוס של התקיפה אליהם.
"כאשר אנו מדברים על קמפיינים של ריגול בגיבוי מדינה, אנשים לעיתים קרובות מדמיינים פעילות מתקדמת עם כלים מורכבים שפותחו על ידי מומחים. עם זאת, האנשים מאחורי הקמפיין המדובר נראים יותר כמו מנהלי מערכת מאשר שחקני איום מתוחכמים: הם יודעים כיצד לכתוב קוד, אבל הקמפיין שלהם מסתמך יותר על שימוש יצירתי בכלים קיימים מאשר על מאפיינים חדשים ומתקדמים או על ארכיטקטורה מתוחכמת של הקוד. עם זאת, אפילו כלים פשוטים יחסית יכולים לגרום נזק משמעותי, לכן אנו קוראים לארגונים להגן על המידע והמערכות הרגישים שלהם מפני כל רמות האיום, ולהשתמש במודיעין איומים כדי להבין כיצד אופק האיומים מתפתח", אמר דניס לגזו, חוקר אבטחה במעבדת קספרסקי.
