By | March 12, 2018

מעבדות קספרסקי מומחי אבטחה התראה של סייבר ריגול קבוצה שחבריה תוקפים משתמשים במזרח התיכון ובאפריקה מאת באמצעות נתבים שלהם. לדברי החוקרים, קבוצה זו ריגול פועלת מאז לפחות 2012 ולאחר התקפותיה האחרונה נצפו בחודש שעבר.

כ 100 קלע יתכן זוהו עד כה, רובם הממוקם קניה, תימן, עם זאת, היו גם מטרות רשום ב אפגניסטן, קונגו, לוב, הודו, ירדן, סודאן, עיראק, טנזניה ו סומליה.

הקמפיין תוכנות זדוניות מתמקדת בדרך כלל למשתמשים בודדים, למרות החוקרים זיהו גם בהתקפות ארגונים ממשלתיים, כמו גם מרכזי אינטרנט מסוימים.

היצירה העיקריים של תוכנה זדונית אשר משתמשים נקרא הקלע, והוא מבוסס על מחרוזות פנימית התגלה על ידי אנליסטים אבטחה. תוכנה זדונית זו ידועה מדביק מחשבים באמצעות נתבים פרוץ, במיוחד אלה שנעשו על ידי Mikrotik, לטביה.

. כרגע, אין מידע על הדרך הנתבים יישוב בסכנה, עם זאת, על-פי קספרסקי מומחים Vault7 ויקיליקס הקבצים כוללים של ניצול Mikrotik.

הספק אומר כי הם יש העבירו את הפגיעות ממונף על ידי ניצול Vault7, זה לא ברור אם ההאקרים כרגע משתמש הווקטור הראשונית.

ברגע התוקפים לקבל גישה לנתב, הם יכולים להתעלל כלי לגיטימי של תוכנה בשם WinBox – זהו כלי ניהול שסופקו על-ידי Mikrotik זה מוריד קבצי DLL מסוימים מן הנתב וטוענת אותם ישירות לתוך הזיכרון של המחשב.

באמצעות שימוש לרעה את הפונקציונליות הנ ל, הפושעים קלע יכולים לספק התוכנה הזדונית למנהל של הנתב יישוב.

. בעיקרון, התוכנה הזדונית הוא העובדים השלב הראשון אשר מחליף לגיטימי קבצי DLL ב- Windows עם גירסאות זדוני שיש בדיוק באותו. הגודל. ה-Dll זדוני נטענים באמצעות תהליך services.exe, שבו יש הרשאות מערכת.

המודולים העיקריים להוריד על ידי קלע נקראים Cahnadr ו GollumApp. Cahnadr, הידוע גם בשם Ndriver, היא מצב ליבה המטען מספקת את כל היכולות הנדרשות על-ידי מודולים במצב משתמש, כולל אנטי-איתור באגים, פונקציונליות rootkit, הזרקת מודולים לתוך תהליך services.exe, רשת תקשורת, ואכילה יכולות עבור פרוטוקולים שונים.

GollumApp הוא המודול הראשי במצב משתמש שנוצרו כדי לנהל מודולים אחרים במצב משתמש תוך אינטראקציה ללא הרף עם Cahnadr. הוא כולל מגוון רחב של פונקציונליות בריגול ממוקד המאפשר האקרים ללכוד צילומי מסך, להיכנס הקשות, לאסוף מערכת ורשת לנתונים, לקצור סיסמאות, לתמרן נתוני הלוח, להפעיל תהליכים חדשים עם הרשאות מערכת, להזריק את השני מודולים זדוני לתוך תהליך שצוין. בנוסף, התוכנה הזדונית מאפשר האקרים לקבל שליטה מלאה על המחשב הנגוע.

הקלע ינסה לברוח זיהוי באמצעות שיטות שונות, כולל קריאה שירותי מערכת ישירות בניסיון לעקוף את אבטחת מוצר ווים, הצפנת מחרוזות, מודולים, ואת תהליכי שהזרקת באופן סלקטיבי בהתאם איזה מוצר אבטחה קיים.

חוץ מזה, התוכנה הזדונית מעסיקה כמה טכניקות מתוחכמות כשמדובר הפקודה והוא תקשורת בקרה (C & C) – מסתיר את התעבורה שלו בפרוטוקולי תקשורת לגיטימית, עין עבור מנות המכילות סימן מיוחד.

על סמך כל הניתוח עד כה, מעבדות קספרסקי טוען כי זהו מסע ריגול סייבר בחסות המדינה, רמתו של תחכום יריבים הרמה של שחקנים איום Regin ו- ProjectSauron.

Leave a Reply

Your email address will not be published. Required fields are marked *