Xtreme RAT atakuje na USA, Wielką Brytanię, inne rządy

Grupa hakerów, która niedawno zainfekowała izraelskie komputery policyjne szkodliwym oprogramowaniem Xtreme RAT, kierowała również instytucje rządowe z USA, Wielkiej Brytanii i Stanów Zjednoczonych. w innych krajach, według naukowców od producenta antywirusów Trend Micro.

Osoby atakujące wysłały fałszywe wiadomości z załącznikiem.RAR na adresy e-mail w docelowych agencjach rządowych. Archiwum zawierało złośliwy plik wykonywalny podszywający się pod dokument programu Word, który po uruchomieniu zainstalował złośliwe oprogramowanie Xtreme RAT i otworzył dokument wabika z raportem o ataku rakietowym Palestyńczyków.

Atak ujawnił się pod koniec października, kiedy izraelska policja zamknęła swoją sieć komputerową, aby usunąć złośliwe oprogramowanie ze swoich systemów. Podobnie jak większość programów trojana zdalnego dostępu (RAT), Xtreme RAT daje atakującym kontrolę nad zainfekowanym komputerem i umożliwia im przesyłanie dokumentów i innych plików z powrotem na ich serwery.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Po analizie próbek złośliwego oprogramowania wykorzystywanych w izraelskim ataku policji, analitycy bezpieczeństwa z norweskiego producenta oprogramowania antywirusowego Norman odkryli serię starszych ataków z początku tego roku i pod koniec 2011 r., Które dotyczyły organizacji w Izraelu i na terytoriach palestyńskich. Ich odkrycia namalowały obraz całorocznej operacji cyberespionage wykonywanej przez tę samą grupę atakujących w regionie.

Jednak według nowych danych odkrytych przez naukowców z Trend Micro zakres kampanii wydaje się znacznie większy.

"Odkryliśmy dwa e-maile wysłane z firmy {BLOCKED}[email protected] 11 listopada i 8 listopada, które skierowane były przede wszystkim do rządu Izraela", Nart Villeneuve, starszy analityk firmy Trend Micro, powiedział w poście na początku tego tygodnia. "Jeden z e-maili wysłano na 294 adresy e-mail."

"Podczas gdy znaczna większość wiadomości e-mail była wysyłana do rządu Izraela w" mfa.gov.il "[Ministerstwo Spraw Zagranicznych Izraela]," idf. gov.il "[Izraelskie Siły Obronne] i" mod.gov.il "[Izraelskie Ministerstwo Obrony], znaczna kwota została również wysłana do rządu USA na adresy" state.gov "[Departamentu Stanu USA], "Powiedział Villeneuve. "Inne cele rządu Stanów Zjednoczonych obejmowały również adresy" senate.gov "[Senat USA] i" house.gov "[Dom Izby Reprezentantów] Wiadomość e-mail została również wysłana na adres e-mail" usaid.gov "[Agencja USA ds. Rozwoju międzynarodowego] adresy. "

Na liście celów znalazły się również adresy" fco.gov.uk "(brytyjskie Foreign & Commonwealth Office) i adresy e-mail" mfa.gov.tr ​​"(tureckie Ministerstwo Spraw Zagranicznych), a także adresy od rządu instytucje w Słowenii, Macedonii, Nowej Zelandii i na Łotwie, powiedział naukowiec. Niektóre organizacje pozarządowe, takie jak BBC i Office of the Quartet Representative, były również celem.

Niejasne motywy

Badacze Trend Micro wykorzystali metadane z dokumentów wabików, aby wyśledzić niektórych autorów na forum internetowym. Jeden z nich użył aliasu "aert", aby porozmawiać o różnych złośliwych aplikacjach, w tym DarkComet i Xtreme RAT, lub o wymianie towarów i usług z innymi członkami forum, powiedział Villeneuve.

Jednak motywacje atakujących pozostają niejasne. Gdyby po raporcie Normana można było spekulować, że atakujący mają plan polityczny powiązany z Izraelem i terytoriami palestyńskimi, po najnowszych odkryciach firmy Trend Micro. Trudno odgadnąć, co ich napędza.

"Ich motywacja jest dość niejasna w tym momencie po odkryciu tego najnowszego rozwoju kierowania na inne organizacje państwowe", powiedział Ivan Macalintal, starszy analityk ds. zagrożeń i ewangelista ds. bezpieczeństwa w firmie Trend Micro, w piątek za pośrednictwem poczty elektronicznej.

Firma Trend Micro nie przejęła kontroli nad serwerami dowodzenia i kontroli używanymi przez atakujących w celu ustalenia, jakie dane zostały skradzione z zainfekowanych komputerów, powiedział naukowiec, dodając, że obecnie nie ma na to żadnych planów.

Firmy ochrony czasem współpracują z dostawcami domen, aby wskazać nazwy domeny C & C używane przez napastników na adresy IP pod ich kontrolą. Proces ten jest znany jako "sinkholing" i służy do określenia, ile komputerów zostało zainfekowanych określonym zagrożeniem i jakie informacje te komputery odsyłają z powrotem na serwery kontrolne.

"Nawiązaliśmy kontakt i pracujemy z CERTs [komputerowe zespoły reagowania kryzysowego] dla poszczególnych dotkniętych państw, a my zobaczymy, czy rzeczywiście doszło do jakiejkolwiek szkody "- powiedział Macalintal. "Wciąż aktywnie monitorujemy kampanię od tej pory i odpowiednio opublikujemy aktualizacje."