Xtreme RAT zlonamjerni programi ciljaju SAD, Veliku Britaniju i druge vlade

Hackerska skupina koja je nedavno inficirala izraelska policijska računala s Xtreme RAT zlonamjernim softverom također je ciljala državne institucije iz SAD-a, Velike Britanije i Velike Britanije i drugih zemalja, tvrde znanstvenici iz SAD-a, Velike Britanije i drugih zemalja. drugih zemalja, prema istraživačima Trend Micro protuvirusnog dobavljača.

Napadači su poslali prijevaru poruke s.RAR privitkom na adrese e-pošte unutar ciljanih vladinih agencija. Arhiv je sadržavao zlonamjerni izvršni masquerading kao Word dokument koji je, kada je pokrenuo, instalirao Xtreme RAT zlonamjerni softver i otvorio mamac dokument s novinskim izvješćem o palestinskom raketnom napadu.

Napad je došao na vidjelo krajem listopada kada izraelska policija zatvorila računalnu mrežu kako bi očistila zlonamjerni softver iz svojih sustava. Kao i većina pristupnih trojanskih programa (RAT), Xtreme RAT napadača daje kontrolu nad zaraženim strojem i omogućuje im da prenesu dokumente i druge datoteke na svoje poslužitelje.

[Dodatna čitanja: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Nakon analize uzoraka zlonamjernih programa korištenih u izraelskoj policijskoj napadi, istraživači sigurnosti iz norveške antivirusne prodavače Norman otkrili su niz starijih napada iz ranijih ove i krajem 2011. godine, a ciljane organizacije u Izraelu i na palestinskim teritorijima. Njihovi su nalazi naslikali sliku dugogodišnje operacije internetske operacije koju provodi iste skupine napadača u regiji. Međutim, prema novim podacima koje otkriju istraživači iz Trend Microa, čini se da je opseg kampanje mnogo veći.

"Otkrili smo dvije e-poruke poslane od {BLOCKED}[email protected] 11. i 8. studenog koji su prije svega ciljali Vladu Izraela", izjavio je u nedjelju, objavljenom u postu na blogu Trend Micro istraživač prijetnji Nart Villeneuve. "Jedna od poruka e-pošte poslana je na 294 e-mail adrese."

"Iako je velika većina poruka e-pošte poslana Vladi Izraela u 'mfa.gov.il' (Izraelsko Ministarstvo vanjskih poslova), 'idf. Vlada [Izraelske obrambene snage] i mod.gov.il [Izraelsko Ministarstvo obrane], značajan iznos također su poslani američkoj Vladi na adresama e-pošte "state.gov" [US Department of State] "Rekao je Villeneuve. "Ostale ciljeve američke vlade također su uključivale adrese e-pošte 'senate.gov' [US Senat] i 'house.gov' [e-mail]. E-mail je također poslan u 'usaid.gov' [Američku agenciju za međunarodni razvoj] adrese ".

Popis ciljeva uključivao je adrese e-pošte" fco.gov.uk "i britanski ministar vanjskih poslova" mfa.gov.tr ​​", kao i adrese vlade institucije u Sloveniji, Makedoniji, Novom Zelandu i Latviji, rekao je istraživač. Neke nevladine organizacije poput BBC-a i predstavnika ureda kvarteta također su bile ciljane.

Motivacije nejasne

Istraživači Trend Microa koristili su metapodatke iz dokumenata za mamce kako bi pronašli neke od svojih autora na on-line forum. Jedan od njih je koristio alias "aert" kako bi razgovarao o raznim aplikacijama za zlonamjerne programe, uključujući DarkComet i Xtreme RAT ili za razmjenu dobara i usluga s drugim članovima foruma, rekao je Villeneuve.

Ipak, motivi napadača ostaju nejasni. Ako bi, nakon izvješća Normana, netko mogao nagađati da napadači imaju politički plan vezan za Izrael i palestinske teritorije, nakon najnovijih otkrića Trend Microa. teže ih je pogoditi što ih tjera.

"Njihove su motive posve nejasne u ovom trenutku nakon otkrivanja najnovijeg razvoja ciljanosti drugih drţavnih organizacija", izjavio je Ivan Macalintal, viši istraživač prijetnji i sigurnosni evangelist u Trend Micro petkom putem e-pošte.

Trend Micro nije preuzeo kontrolu nad svim poslužiteljima naredbi i kontroli (C & C) koje su koristili napadači kako bi se utvrdilo koji se podaci ukrade sa zaraženih računala, rekao je istraživač, dodavši kako trenutno ne postoje planovi za to.

Sigurnosne tvrtke ponekad rade s davateljima domena kako bi označili imena domena C & C koje koriste napadači na IP adrese pod njihovom kontrolom. Ovaj je postupak poznat kao "sinkholing" i koristi se za određivanje koliko je računala zaraženo određenom prijetnjom i kakve informacije ta računala šalju natrag upravljačkim poslužiteljima.

"Kontaktirali smo i surađujemo s CERT-ovi [timovi za hitne slučajeve računala] za pojedine države, a vidjet ćemo je li doista došlo do bilo kakve štete ", izjavio je Macalintal. "I dalje aktivno pratimo kampanju od sada i objavit ćemo ažuriranja u skladu s tim".