Un grup de spionaj cibernetic vizează ambasadele
Cercetătorii în securitate cibernetică ai Kaspersky Lab au detectat numeroase tentative de a infecta entități diplomatice străine, din Iran, cu un spyware dezvoltat in-house.
Atacurile par să folosească un backdoor Remexi actualizat. De asemenea, au fost detectate mai multe instrumente legitime în cadrul campaniei. Backdoor-ul Remexi are legătură cu un grup de spionaj cibernetic vorbitor de limba farsi, cunoscut ca Chafer, asociat anterior cu monitorizarea cibernetică a unor persoane fizice din Orientul Mijlociu. Vizarea ambasadelor ar putea să sugereze o reorientare a grupului, scrie clubitc.ro.
Remexit a fost detectat pentru prima dată în 2015, fiind folosit de un grup de spionaj cibernetic denumit Chafer, pentru o operațiune de urmărire ce viza persoane fizice și o serie de organizații din Orientul Mijlociu. Faptul că backdoor-ul folosit în noua campanie are similarități cu mostre Remexi cunoscute, corelat cu grupul de victime, i-a determinat pe cercetătorii Kaspersky Lab să-l asocieze cu Chafer.
Malware-ul Remexi descoperit recent poate executa comenzi la distanţă şi poate realiza capturi de ecran. De asemenea, poate să fure date din browser, inclusiv detalii de autentificare, istoric şi orice text tastat, printre altele. Informaţiile furate erau extrase folosind aplicaţia legitimă Microsoft Background Intelligent Transfer Service (BITS) – o componentă Windows creată pentru a permite actualizările Windows în background. Îmbinarea malware-ului cu un cod legitim îi ajută pe atacatori să economisească timp şi resurse şi să facă procesul de atribuire mai complicat, scrie descopera.ro.
„Atunci când vorbim de campanii de spionaj cibernetic sponsorizate de state, lumea îşi imaginează adesea operaţiuni avansate, cu instrumente complexe, dezvoltate de experţi”, spune Denis Legezo, cercetător în securitate la Kaspersky Lab. „Însă oamenii din spatele acestei campanii spyware par mai degrabă nişte administratori de sistem decât atacatori experimentaţi: ştiu să codifice, dar campania lor se bazează mai mult pe folosirea creativă a unor instrumente care există deja decât pe caracteristici avansate sau pe o arhitectură elaborată a codului. Cu toate acestea, chiar şi instrumente relativ simple pot cauza pagube semnificative, astfel că le recomandăm organizaţiilor să îşi protejeze informaţiile şi sistemele împotriva oricăror tipuri de ameninţări şi să folosească informaţii despre ameninţări pentru a înţelege cum evoluează acestea”, a adăugat specialistul.