קיפה ממוקדת כנגד עיתונאים ומטרות פוליטיות במזרח התיכון
מאת:
מערכת Telecom News, 9.9.19, 18:35
חוקרים גילו "דלת אחורית" חדשה המשתמשת בטכניקה ייחודית.
קבוצת התקיפה
Stealth Falcon פעילה כבר מ-2012 וידועה כתוקפת אקטיביסטים פוליטיים ועיתונאים במזרח התיכון. ישנם אנליסטים המקשרים את הקבוצה לפרויקט רייבן, יוזמה המעסיקה, לכאורה, פעילי
NSA לשעבר.
מידע, שנחשף אודות הקבוצה, כולל ניתוח של החלק העיקרי בתוכנה הזדונית, דלת אחורית מבוססת
PowerShell המופצת באמצעות קובץ נגוע המצורף למייל זדוני.
החוקרים של
ESET גילו כעת דלת אחורית חדשה, שטרם דווחה, בשם
Win32/StealthFalcon וראו באמצעותה מספר תקיפות כנגד עיתןונאים ומטרות פוליטיות באיחוד האמירויות, ערב הסעודית, תאילנד והולנד. באחד המקרים אף מדובר בתקיפה של דיפלומט ממדינה במזרח התיכון.
נמצא, שישנם קווי דמיון בין הדלת האחורית החדשה מבוססת ה-
PowerShell לבין הדלת האחורית, שזוהתה בעבר עם הקבוצה, ולכן ניתן להניח, שמדובר בדלתות אחוריות המשרתות את אותה קבוצת התקיפה.
הדלת האחורית החדשה משתמשת בטכניקה ייחודית כדי לתקשר עם שרת השליטה והבקרה: שירות של
Windows המיועד להעברת קבצים בשם
Backround Intelligent Transfer Service (
BITS).
העברת המידע באמצעות
BITS היא קשה יותר לגילוי וניטור, ומרבית חומות האש תאפשרנה את התקשורות הנ"ל ללא חסימה או התראה.
בנוסף לתקשורת הבלתי שגרתית עם שרת השליטה והבקרה, הדלת האחורית משתמשת בטכניקות מתקדמות נוספות כדי למנוע זיהוי שלה, לאפשר לה להישאר חבויה במערכות ולהקשות על תהליך הניתוח של הקוד שלה.
.
