קמפיין ריגול סייבר ממקד ליותר ממאה מדינות

חוקרי Trend Micro מצאו כי פעולה מתמשכת של רשת ריגול ברשת, שכונתה Safe, מיקדה ארגונים שונים ביותר ממאה מדינות עם דוא"ל דיוג חנית.

נראה כי במבצע היו גורמים ממשלתיים ממוקדים, חברות טכנולוגיה, כלי תקשורת, מוסדות מחקר אקדמיים וארגונים לא ממשלתיים, קיילי ווילהויט ונארט וילנייב, שני חוקרי איומי מיקרו-טרנד, כתבו בבלוג המודיעין הביטחוני. Trend Micro מאמין שלמעלה מ- 12, 000 כתובות IP ייחודיות, הפרוסות על פני 120 מדינות לערך, נדבקו בתוכנה הזדונית. עם זאת, רק 71 כתובות IP, בממוצע, התקשרו באופן פעיל עם שרתי ה- C&C מדי יום.

"Trend הקורבנות בפועל הוא הרבה פחות ממספר כתובות ה- IP הייחודיות", אמרה טרנד מיקרו בנייר הלוח שלה, אך סירבה לשער על נתון בפועל.

מסתמך בטוח על דיוג חנית

Safe מורכב משני קמפיינים מדויקים של דיוג חנית המשתמשים באותו זן של תוכנות זדוניות, אך תוך שימוש בתשתיות פיקוד ובקרה שונות, כתבו החוקרים בעיתון הלבן. בהודעות דוא"ל החנית של קמפיין אחד היו שורות נושא המתייחסות לטיבט או למונגוליה. החוקרים טרם זיהו נושא משותף בשורות הנושא ששימשו לקמפיין השני, שגבה קורבנות בהודו, ארה"ב, פקיסטן, סין, הפיליפינים, רוסיה וברזיל.

חברת Safe שלחה דוא"ל דיוג חנית דיוג לקורבנות והעלתה אותם לפתוח קובץ מצורף זדוני שניצל פגיעות של Microsoft Office שכבר טופחה, על פי Trend Micro. החוקרים מצאו כמה מסמכי וורד זדוניים, שכאשר הם נפתחו, התקינו בשקט עומס על מחשב הקורבן. הפגיעות של ביצוע קוד מרחוק בבקרות נפוצות של Windows טופלה באפריל 2012.

פירוט תשתיות C&C

בקמפיין הראשון, מחשבים מ -243 כתובות IP ייחודיות ב -11 מדינות שונות המחוברים לשרת C&C. בקמפיין השני התקשרו מחשבים מ -11, 563 כתובות IP מ -116 מדינות שונות עם שרת ה- C&C. הודו נראתה כממוקדת ביותר, עם למעלה מ -4, 000 כתובות IP נגועות.

אחד משרתי C&C הוקם כך שכל אחד יוכל לראות את תוכן הספריות. כתוצאה מכך, חוקרי Trend Micro הצליחו לקבוע מי הם הקורבנות, וגם להוריד קבצים המכילים את קוד המקור שמאחורי שרת ה- C&C והתוכנה הזדונית. אם מסתכלים על הקוד של שרת ה- C&C, נראה כי המפעילים החזרו על קוד מקור לגיטימי מספק שירותי אינטרנט בסין, אמר Trend Micro.

התוקפים התחברו לשרת ה- C&C דרך VPN והשתמשו ברשת Tor, והקשו על עקבותיהם היכן התוקפים נמצאים. Trend Micro אמר כי "המגוון הגיאוגרפי של שרתי ה- Proxy ו- VPN הקשה על קביעת מקורם האמיתי."

התוקפים עשויים להשתמש בתוכנות זדוניות סיניות

בהתבסס על כמה רמזים בקוד המקור, אמר Trend Micro כי יתכן שהתוכנה הזדונית פותחה בסין. בשלב זה לא ידוע אם מפעילי Safe פיתחו את התוכנה הזדונית או קנו אותה ממישהו אחר.

החוקרים כתבו בבלוג כי "אמנם קביעת כוונתם של זה ותוקפם של התוקפים נותרה קשה, אך הערכנו כי קמפיין זה ממוקד ומשתמש בתוכנות זדוניות שפותחו על ידי מהנדס תוכנה מקצועי העשוי להיות מחובר למחתרת העבריינית בסין".