ראשי » עסקים » טכנולוגיה גלוש ב - nrg מעריב מהסלולר

גורם מזרח אירופאי הפעיל וירוס מחשבים מיוחד למטרות ריגול

התוכנה הזדונית פגעה במעבדות מחקר בין השאר בתחום האטום וחדרה למשבי ארגונים דיפלומטיים ומדינות ברחבי העולם. היא היתה פעילה משנת 2007

אסף גולן | 16/1/2013 12:23

התגלה וירוס מחשבים שהתמקד בחדירה לארגונים דיפלומטיים, גופים ממשלתיים וגופי מחקר מדעי. פעילות הריגול התפרסה על פני 5 שנים לפחות, והתמקדה במדינות במזרח אירופה, רפובליקות חבר העמים ומדינות במרכז אסיה. עם זאת בין הנפגעים היו גם ארגונים במדינות מערב אירופה וצפון אמריקה. ככל הנראה המטרה העיקרית של התוקפים הייתה לאסוף מסמכים ונתונים מסווגים, לרבות מידע גיאופוליטי, הרשאות גישה למערכות מסווגות ומידע ממכשירי סלולר אישיים, מדיה נתיקה וציוד תקשורת כגון נתבים.

סכנה וירוס מחשב sxc

גילוי הווירוס שזה לכינוי אוקטובר האדום התבצע באוקטובר 2012 על ידי צוות מומחים של מעבדת קספרסקי. הצוות החל בחקירה בעקבות שורה של התקפות נגד רשתות מחשבים אשר התמקדו בארגונים בינלאומיים המספקים שירותים דיפלומטיים. במהלך החקירה נחשפה, זוהתה ונותחה רשת מתוחכמת ורחבת היקף של ריגול מקוון. על פי הדוח שכתבו אנשי התוכנה, נכון לינואר 2013, התוכנה הזדונית, הנקראת בקיצור "רוקרה" (Rocra) עודנו פעילה, ולפי העדויות היא היתה פעילה ברציפות לפחות מאז שנת 2007.

בבדיקה התברר כי התוקפים התמקדו בגופים דיפלומטיים וממשלתיים במגוון מדינות ברחבי העולם, לצד מכוני מחקר, קבוצות אנרגיה ואטום, וארגוני סחר, תעופה וחלל. כחלק מהקמפיין, פיתחו התוקפים קוד זדוני ייחודי, המזוהה כ"רוקרה", שיש לו מבנה מודולרי ייחודי הכולל הרחבות זדוניות, מודולים לגניבת מידע וסוסים טרויאנים מבוססי "דלת אחורית".

התוקפים השתמשו במידע שנשלף מרשתות שנפגעו כאמצעי להשגת הרשאת כניסה למערכות נוספות. לדוגמא, סיסמאות שנגנבו התווספו לרשימה שעליה התבססו התוקפים כדי לנחש סיסמאות או מונחים המאפשרים גישה למערכות אחרות.

כדי לשלוט במחשבים ובמערכות שנפגעו, התוקפים יצרו יותר מ- 60 שמות דומיינים ומספר שרתי אירוח במדינות שונות, כשרובם נמצאים בגרמניה ורוסיה. ניתוח מערכות הפיקוד והשליטה של רוקרה מציג שרשרת של שרתים שלמעשה פועלים כ"פרוקסי" במטרה להסתיר את המיקום של שרת השליטה המרכזי.

המידע שנגנב ממערכות שנפגעו כולל מסמכים עם הסיומות: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls,

wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa.. הסיומת acid* מצביעה על התמקדות בתוכנה המסווגת Acid Cryptofiler, הנמצאת בשימוש האיחוד האירופי ונאט"ו.

כדי להדביק מערכות, שלחו התוקפים התקפת פישינג ממוקדת אל הקורבן באמצעות דואר האלקטרוני, שכללה "מזריק" טרויאני מותאם אישית. כדי להתקין את הקוד הזדוני ולהדביק את המערכת, כלל הדואר האלקטרוני הזדוני כלל פירצה במערכת אופיס ואקסל של מיקרוסופט. הפירצה שהשתמשו בה בהתקפת הפישינג הממוקדת נוצרה על ידי תוקפים אחרים והופעלה גם במתקפות מקוונות אחרות כולל מצד אקטיביסטים מטיבט והתקפות על גופי צבא ואנרגיה במרכז אסיה.

הדבר היחיד שהשתנה במסמך שהשתמשו בו ברוקרה היה הקוד הזדוני המוטמע, שהתוקפים החליפו בקוד שהם פיתחו. חשוב לציין, כי אחת הפקודות בסוס הטרויאני "המזריק" את הקוד הזדוני, שינתה את ברירת המחדל של קוד חלון הפעולה ל- 1251, הנדרש כדי לעבד פונטים קיריליים.

היכנסו לעמוד הפייסבוק החדש של מעריב