Xtreme RAT -haittaohjelmien kohteet Yhdysvalloissa, Isossa-Britanniassa ja muissa hallituksissa

Hacker-ryhmä, joka äskettäin infektoi israelilaisia ​​poliisitietokoneita Xtreme RAT-haittaohjelmien kanssa, on kohdistanut myös Yhdysvaltain, Yhdistyneen kuningaskunnan ja Yhdysvaltojen viranomaisia. muissa maissa virustentorjunnan toimittajan Trend Microin tutkijoiden mukaan.

Hyökkääjät lähettivät rogue-viestejä, joilla on.RAR-liite sähköpostiosoitteisiin kohdennetuissa valtion virastoissa. Arkisto sisälsi haitallisen suoritettavan maskauksen Word-asiakirjana, joka ajettaessa asensi Xtreme RAT -haittaohjelmat ja avasi houkuttelevan asiakirjan uutisraportilla palestiinalaisten ohjushyökkäyksestä.

Hyökkäys tuli esille lokakuun lopussa, kun Israelin poliisi sulki tietokoneverkostensa haittaohjelmien puhdistamiseksi järjestelmistään. Kuten useimmat etäkäyttäjät Trojan-ohjelmat (RAT), Xtreme RAT antaa hyökkääjille mahdollisuuden hallita tartunnan saanutta laitetta ja antaa heille mahdollisuuden ladata asiakirjoja ja muita tiedostoja takaisin palvelimilleen.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Analysoimalla Israelin poliisin hyökkäyksissä käytettäviä haittaohjelmien näytteitä Norjan pohjaisen virustentorjunnan toimittajan Normanin tietoturva-tutkijat paljastivat useita vanhempia hyökkäyksiä aiemmista tänä ja vuoden 2011 lopussa kohdennetuista organisaatioista Israelissa ja palestiinalaisalueilla. Niiden havainnot maalasivat kuvan saman vuoden hyökkääjien ryhmästä, joka oli vuoden kestävä tietoverkko-operaatio.

Trend Microin tutkijoiden paljastamien uusien tietojen mukaan kampanjan laajuus näyttää kuitenkin olevan paljon suurempi.

"Me löysimme kaksi sähköpostiviestiä, jotka lähetettiin {BLOCKED}[email protected] 11.11.-8.11., Jotka kohdistuivat ensisijaisesti israelilaiseen hallitukseen," Trend Micro vanhempi uhka tutkija Nart Villeneuve sanoi blogikirjeessä aiemmin tällä viikolla. "Yksi sähköpostista lähetettiin 294 sähköpostiosoitteeseen."

"Suurin osa sähköpostista lähetettiin Israelin hallitukselle" mfa.gov.il ": ssä (Israelin ulkoasiainministeriö)," idf. Israelin puolustusministeriö ja Israelin puolustusministeriö, huomattava määrä lähetettiin myös Yhdysvaltojen hallitukselle valtionhallinnon osoitteessa state.gov, "Villeneuve sanoi. "Yhdysvaltain hallituksen tavoitteet sisälsivät myös" senate.gov ": n [Yhdysvaltain senaatti] ja" house.gov "(Yhdysvaltain edustajainhuone) sähköpostiosoitteet. Sähköposti lähetettiin myös osoitteeseen usaid.gov [Yhdysvaltojen virasto kansainväliseen kehitykseen] osoitteet ".

Tavoiteluetteloon sisältyivät myös" fco.gov.uk "(Yhdistyneen kuningaskunnan ulkomaankauppa ja kansainyhteisötoimisto) ja" mfa.gov.tr ​​"(Turkin ulkoministeriö) sähköpostiosoitteet sekä Slovenian, Makedonian, Uuden-Seelannin ja Latvian instituutioita, tutkija sanoi. Joitakin kansalaisjärjestöjä, kuten BBC ja Quartet-edustajan toimisto, kohdistettiin myös.

Motivaatiot epäselvä

Trend Micro-tutkijat käyttivät metaattisia tietoja houkuttelevista asiakirjoista, jotta he löytäisivät osan kirjoittajistaan ​​verkkofoorumille. Yksi niistä käytti alias "aert" puhuakseen useista haittaohjelmista, kuten DarkCometista ja Xtreme RAT: stä, tai vaihtaa tavaroita ja palveluita muiden foorumin jäsenten kanssa, Villeneuve sanoi.

Hyökkääjien motiivit ovat kuitenkin epäselviä. Jos Norman-raportin jälkeen olisi voinut olettaa, että hyökkääjät ovat Israelin ja palestiinalaisalueilla sidoksissa poliittisen asialistan Trend Microin viimeisimpien havaintojen jälkeen. on vaikeampi arvata, mikä ajaa heitä.

"Heidän motiivinsa ovat tässä vaiheessa täysin epäselvät, kun he havaitsevat tämän viimeisimmän kehityksen, joka kohdistuu muihin valtiollisiin järjestöihin", sanoo Trend Micron perjantaina sähköpostiviestinä toimiva vanhempi uhka tutkija ja tietoturvan evankelistaja Ivan Macalintal.

Tutkija totesi, että tällä hetkellä ei ole suunnitelmia tehdä hyökkäyskäyttäjien käyttämiä komentojen ja valvontapalvelimien (C & C) palvelimia sen määrittämiseksi, mitä tietoja varastetaan tartunnan saaneista tietokoneista.

Tietoturvayritykset toimivat joskus verkkotunnusten tarjoajien kanssa kohdistamaan C & C-verkkotunnuksia, joita hyökkääjät käyttävät IP-osoitteidensa hallintaan. Tätä prosessia kutsutaan nimellä "sinkholing", ja sitä käytetään määrittämään, kuinka monta tietokonetta on tarttunut tietylle uhalle ja millaisia ​​tietoja kyseiset tietokoneet lähettävät takaisin ohjauspalvelimiin.

"Olemme ottaneet yhteyttä ja työskentelemme CERTs [tietokonekorjausryhmät] tietyille asianomaisille valtioille ja näemme, oliko todellakin vaurioita ", Macalintal sanoi. "Aiomme edelleen seurata kampanjaa aktiivisesti ja julkaista päivityksiä vastaavasti."