Un grup de spionaj cibernetic din Iran atacă ambasade
Backdoor-ul Remexi are legătură cu un grup de spionaj cibernetic vorbitor de limba farsi, cunoscut sub numele de Chafer, asociat în trecut cu monitorizarea cibernetică a unor persoane fizice din Orientul Mijlociu. Vizarea ambasadelor ar putea să sugereze o reorientare a grupului, scrie Mediafax.
Operaţiunea arată cum atacatoriii din regiuni emergente pun la cale campanii împotriva unor ţinte de interes, folosind un malware relativ elementar, făcut „acasă”, plus unele instrumente publice. Astfel, atacatorii au folosit o versiune îmbunătăţită a backdoor-ului Remexi, care permite administrarea de la distanţă a dispozitivului victimei.
Remexi a fost detectat pentru prima dată în 2015, fiind folosit de Chafer pentru o operaţiune de urmărire ce viza persoane fizice şi o serie de organizaţii din Orientul Mijlociu. Faptul că backdoor-ul folosit în noua campanie are similarităţi cu Remexi deja cunoscut, corelat cu grupul de victime, i-a determinat pe experţii de la Kaspersky Lab să-l asocieze cu Chafer.
Malware-ul Remexi descoperit recent poate executa comenzi la distanţă şi poate realiza capturi de ecran. De asemenea, poate să fure date din browser, inclusiv detalii de autentificare, istoric şi orice text tastat, printre altele. Informaţiile furate erau extrase folosind aplicaţia legitimă Microsoft Background Intelligent Transfer Service (BITS) – o componentă Windows creată pentru a permite actualizările Windows în background. Îmbinarea malware-ului cu un cod legitim îi ajută pe atacatori să economisească timp şi resurse şi să facă procesul de atribuire mai complicat.
„Atunci când vorbim de campanii de spionaj cibernetic sponsorizate de state, lumea îşi imaginează adesea operaţiuni avansate, cu instrumente complexe, dezvoltate de experţi”, spune Denis Legezo, cercetător în securitate la Kaspersky Lab. „Însă oamenii din spatele acestei campanii spyware par mai degrabă nişte administratori de sistem decât atacatori experimentaţi: ştiu să codifice, dar campania lor se bazează mai mult pe folosirea creativă a unor instrumente care există deja decât pe caracteristici avansate sau pe o arhitectură elaborată a codului. Cu toate acestea, chiar şi instrumente relativ simple pot cauza pagube semnificative, astfel că le recomandăm organizaţiilor să îşi protejeze informaţiile şi sistemele împotriva oricăror tipuri de ameninţări şi să folosească informaţii despre ameninţări pentru a înţelege cum evoluează acestea”, a adăugat specialistul.
Kaspersky Lab a detectat virusul actualizat Remexi, ca Trojan.Win32.Remexi şi Trojan.Win32.Agent.