Το Malware Xtreme RAT στοχεύει στις ΗΠΑ, το Ηνωμένο Βασίλειο και άλλες κυβερνήσεις

. Η ομάδα χάκερ που πρόσφατα μολύνει ισραηλινούς αστυνομικούς υπολογιστές με το κακόβουλο λογισμικό Xtreme RAT στόχευε επίσης κυβερνητικά ιδρύματα από τις Η.Π.Α. άλλες χώρες, σύμφωνα με τους ερευνητές της Trend Micro.

Οι επιτιθέμενοι έστειλαν αδίστακτα μηνύματα με συνημμένο.RAR σε διευθύνσεις ηλεκτρονικού ταχυδρομείου εντός των στοχευμένων κυβερνητικών υπηρεσιών. Το αρχείο περιελάμβανε ένα κακόβουλο εκτελέσιμο πρόγραμμα περιήγησης ως έγγραφο του Word, το οποίο κατά την εκτέλεσή του εγκατέστησε το κακόβουλο πρόγραμμα Xtreme RAT και άνοιξε ένα έγγραφο μαρτυρίας με μια αναφορά ειδήσεων για μια παλαιστινιακή επίθεση πυραύλων.

Η επίθεση κατέγραψε τα τέλη Οκτωβρίου όταν η ισραηλινή αστυνομία έκλεισε το δίκτυο υπολογιστών της για να καθαρίσει το κακόβουλο λογισμικό από τα συστήματά του. Όπως τα περισσότερα προγράμματα απομακρυσμένης πρόσβασης Trojan (RAT), το Xtreme RAT δίνει στους επιτιθέμενους τον έλεγχο του μολυσμένου μηχανήματος και τους επιτρέπει να φορτώνουν έγγραφα και άλλα αρχεία στους διακομιστές τους.

[Περαιτέρω ανάγνωση: Τρόπος κατάργησης κακόβουλου λογισμικού από τον υπολογιστή σας Windows]

Μετά την ανάλυση των δειγμάτων κακόβουλου λογισμικού που χρησιμοποιήθηκαν κατά την επίθεση της αστυνομίας από το Ισραήλ, οι ερευνητές ασφάλειας από τον πωλητή ιών Norman, που εδρεύει στη Νορβηγία, αποκάλυψαν μια σειρά παλαιότερων επιθέσεων από αρχές του τρέχοντος έτους και τα τέλη του 2011 που στοχεύουν οργανισμούς στο Ισραήλ και στα παλαιστινιακά εδάφη. Τα ευρήματά τους ζωγράφιζαν την εικόνα μιας μακροχρόνιας επιχείρησης cyberespionage που εκτελούσε η ίδια ομάδα επιτιθέμενων στην περιοχή.

Ωστόσο, σύμφωνα με νέα δεδομένα που αποκαλύφθηκαν από ερευνητές της Trend Micro, το πεδίο εφαρμογής της καμπάνιας φαίνεται να είναι πολύ μεγαλύτερο. > "Ανακαλύψαμε δύο μηνύματα ηλεκτρονικού ταχυδρομείου που εστάλησαν από την {BLOCKED}[email protected] στις 11 Νοεμβρίου και στις 8 Νοεμβρίου και επικεντρώθηκαν κατά κύριο λόγο στην κυβέρνηση του Ισραήλ", ανέφερε ο ερευνητής της Trend Micro, Nart Villeneuve, σε μια δημοσίευση στο blog στις αρχές της εβδομάδας. "Ένα από τα ηλεκτρονικά μηνύματα στάλθηκε σε 294 διευθύνσεις ηλεκτρονικού ταχυδρομείου."

"Ενώ η συντριπτική πλειοψηφία των ηλεκτρονικών μηνυμάτων στάλθηκαν στην κυβέρνηση του Ισραήλ στο« mfa.gov.il »[ισραηλινό Υπουργείο Εξωτερικών],« idf. οι ισραηλινές αμυντικές δυνάμεις και το mod.gov.il [ισραηλινό Υπουργείο Άμυνας], ένα σημαντικό ποσό απεστάλη επίσης στην αμερικανική κυβέρνηση στις διευθύνσεις ηλεκτρονικού ταχυδρομείου του state.gov (ΗΠΑ) "Δήλωσε ο Villeneuve. "Άλλοι κυβερνητικοί στόχοι των αμερικανικών κυβερνήσεων περιλάμβαναν επίσης τις διευθύνσεις ηλεκτρονικού ταχυδρομείου« senate.gov »και« house.gov »[Η Βουλή των Αντιπροσώπων των Η.Π.Α.]. Το ηλεκτρονικό ταχυδρομείο αποστέλλεται επίσης στο ηλεκτρονικό ταχυδρομείο« usaid.gov »[US Agency for International Development] "

Ο κατάλογος στόχων περιελάμβανε επίσης τις διευθύνσεις ηλεκτρονικού ταχυδρομείου« fco.gov.uk »και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου« mfa.gov.tr ​​»(του Τουρκικού Υπουργείου Εξωτερικών) καθώς και διευθύνσεις από την κυβέρνηση ιδρύματα στη Σλοβενία, τη Μακεδονία, τη Νέα Ζηλανδία και τη Λετονία, δήλωσε ο ερευνητής. Ορισμένοι μη κυβερνητικοί οργανισμοί όπως το BBC και το Γραφείο του Εκπροσώπου της Τετραμερούς ήταν επίσης στοχευμένοι

Τα κίνητρα ήταν ασαφή

Οι ερευνητές της Trend Micro χρησιμοποίησαν τα μεταδεδομένα από τα έγγραφα του μαρμάρου για να εντοπίσουν ορισμένους από τους συγγραφείς τους σε ένα online φόρουμ. Ένας από αυτούς χρησιμοποίησε το ψευδώνυμο "aert" για να μιλήσει για διάφορες εφαρμογές κακόβουλου λογισμικού συμπεριλαμβανομένου του DarkComet και του Xtreme RAT ή για να ανταλλάξει αγαθά και υπηρεσίες με άλλα μέλη του φόρουμ, δήλωσε ο Villeneuve

Ωστόσο, τα κίνητρα των εισβολέων παραμένουν ασαφή. Εάν, μετά την έκθεση Norman, θα μπορούσαμε να σκεφτούμε ότι οι επιτιθέμενοι έχουν ένα πολιτικό πρόγραμμα που συνδέεται με το Ισραήλ και τα παλαιστινιακά εδάφη, μετά τα τελευταία ευρήματα της Trend Micro. "Τα κίνητρά τους είναι αρκετά ασαφή σε αυτό το σημείο μετά από την ανακάλυψη αυτής της τελευταίας εξέλιξης της στόχευσης άλλων κρατικών οργανώσεων", δήλωσε ο Ivan Macalintal, ανώτερος ερευνητής απειλών και ευαγγελιστής ασφαλείας στην Trend Micro, την Παρασκευή μέσω ηλεκτρονικού ταχυδρομείου.

Η Trend Micro δεν έχει πάρει έλεγχο σε οποιονδήποτε διακομιστή εντολών και ελέγχου (C & C) που χρησιμοποιούν οι επιτιθέμενοι για να καθορίσει ποια δεδομένα κλέβονται από τους μολυσμένους υπολογιστές, δήλωσε ο ερευνητής, προσθέτοντας ότι δεν υπάρχουν σχέδια προς το παρόν.

Οι εταιρείες ασφάλειας ασχολούνται μερικές φορές με παρόχους τομέα για να επισημαίνουν ονόματα τομέων C & C που χρησιμοποιούνται από εισβολείς σε διευθύνσεις IP υπό τον έλεγχό τους. Αυτή η διαδικασία είναι γνωστή ως "sinkholing" και χρησιμοποιείται για να καθορίσει πόσοι υπολογιστές έχουν μολυνθεί με μια συγκεκριμένη απειλή και τι είδους πληροφορία οι υπολογιστές αυτοί στέλνουν πίσω στους διακομιστές ελέγχου.

"Έχουμε έρθει σε επαφή και εργαζόμαστε με CERT [ομάδες αντιμετώπισης καταστάσεων έκτακτης ανάγκης για υπολογιστές] για τις συγκεκριμένες καταστάσεις που πλήττονται και θα δούμε αν πράγματι σημειώθηκαν ζημίες ", δήλωσε ο Macalintal. "Παρακολουθούμε ενεργά την καμπάνια από τώρα και θα δημοσιεύσουμε αναπροσαρμογές ανάλογα."