Cercetatorii Kaspersky Lab au detectat numeroase tentative de a infecta entitati diplomatice straine, din Iran, cu un spyware dezvoltat in-house. Atacurile par sa foloseasca un backdoor Remexi actualizat. De asemenea, au fost detectate mai multe instrumente legitime in cadrul campaniei. Backdoor-ul Remexi are legatura cu un grup de spionaj cibernetic vorbitor de limba farsi, cunoscut ca Chafer, asociat anterior cu monitorizarea cibernetica a unor persoane fizice din Orientul Mijlociu. Vizarea ambasadelor ar putea sa sugereze o reorientare a grupului.
Operatiunea demonstreaza cum atacatori din regiuni emergente pun la cale campanii impotriva unor tinte de interes, folosind un malware relativ elementar, facut „acasa”, plus unele instrumente publice. In acest caz, atacatorii au folosit o versiune imbunatatita a backdoor-ului Remexi, care permite administrarea de la distanta a dispozitivului victimei.
Remexit a fost detectat pentru prima data in 2015, fiind folosit de un grup de spionaj cibernetic denumit Chafer, pentru o operatiune de urmarire ce viza persoane fizice si o serie de organizatii din Orientul Mijlociu. Faptul ca backdoor-ul folosit in noua campanie are similaritati cu mostre Remexi cunoscute, corelat cu grupul de victime, i-a determinat pe cercetatorii Kaspersky Lab sa-l asocieze cu Chafer.
Malware-ul Remexi descoperit recent poate executa comenzi la distanta si sa realizeze capturi de ecran, sa fure date din browser, inclusaiv detalii de autentificare, istoric si orice text tastat, printre altele. Informatiile furate erau extrase folosind aplicatia legitima Microsoft Background Intelligent Transfer Service (BITS) – o componenta Windows creata pentru a permite actualizarile Windows in background. Tendinta de a imbina malware-ul cu un cod legitim ii ajuta pe atacatori sa economiseasca timp si resurse si sa faca procesul de atribuire mai complicat.
„Atunci cand vorbim de campanii de spionaj cibernetic sponsorizate de state, lumea isi imagineaza adesea operatiuni avansate, cu instrumente complexe, dezvoltate de experti”, spune Denis Legezo, security researcher la Kaspersky Lab. „Insa oamenii din spatele acestei campanii spyware par mai degraba niste administratori de sistem decat atacatori experimentati: stiu sa codifice, dar campania lor se bazeaza mai mult pe folosirea creativa a unor instrumente care exista deja decat pe caracteristici avansate sau pe o arhitectura elaborata a codului. Cu toate acestea, chiar si instrumente relativ simple pot cauza pagube semnificative, astfel ca le recomandam organizatiilor sa isi protejeze informatiile si sistemele impotriva oricaror tipuri de amenintari si sa foloseasca informatii despre amenintari pentru a intelege cum evolueaza acestea.”
Produsele Kaspersky Lab au detectat malware-ul actualizat Remexi, ca Trojan.Win32.Remexi si Trojan.Win32.Agent.
Pentru a va proteja de spyware-ul directionat:
- Folositi o solutie de securitate corporate cu functii anti-atacuri directionate si informatii despre amenintari, care pot detecta atacuri avansate, analizand anomaliile din retea si dandu-le echipelor de securitate cibernetica vizibilitate completa asupra retelei.
- Introduceti initiative de constientizare in domeniul securitatii, care sa le permita angajatilor sa identifice mesajele suspecte. E-mail-ul este un punct de acces des intalnit pentru un atac directionat.
- Oferiti-i echipei de securitate acces la date despre amenintari, pentru a tine pasul cu cele mai noi tactici folosite de infractorii cibernetici si intariti controalele de securitate folosite.
Versiunea completa a raportului este disponibila pe Securelist.com.