Xtreme RAT kötü amaçlı yazılımları ABD, İngiltere ve diğer hükümetleri hedef aldı

Xtreme RAT kötü amaçlı yazılımları ile yakın zamanda İsrail polis bilgisayarlarını enfekte eden hacker grubu ABD, İngiltere'den devlet kurumlarını da hedef aldı. Diğer ülkeler, antivirüs sağlayıcı Trend Micro'dan araştırmacılara göre.

Saldırganlar, hedeflenen devlet kurumlarındaki e-posta adreslerine bir.RAR eki ile birlikte haydut mesajlar gönderdi. Arşiv, çalıştırıldığında, Xtreme RAT kötü amaçlı yazılımını yükleyen ve bir Filistinli füze saldırısı hakkında bir haber raporu içeren bir aldatmaca belge açan bir Word belgesi olarak maskelenen kötü niyetli bir yürütülebilir dosya içeriyordu.

Saldırı Ekim ayının sonunda ortaya çıktı. İsrail polisi, kötü amaçlı yazılımları sistemlerinden temizlemek için bilgisayar ağını kapattı. Çoğu uzaktan erişim Truva atı programı (RAT) gibi, Xtreme RAT saldırganların virüs bulaşmış makineyi kontrol etmesini sağlar ve belgeleri ve diğer dosyaları sunucularına geri yüklemelerini sağlar.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

İsrail polis saldırısında kullanılan kötü amaçlı yazılım örneklerini analiz ettikten sonra, Norveç merkezli antivirüs satıcısı Norman'ın güvenlik araştırmacıları, bu yılın başından bu yana 2011'in sonlarında ve İsrail ve Filistin topraklarındaki örgütleri hedef alan bir dizi eski saldırıyı ortaya çıkardılar. Bulguları, bölgedeki aynı grup saldırgan tarafından gerçekleştirilen bir yıl süren siber saldırı operasyonu resmini çizdi.

Ancak, Trend Micro'nun araştırmacıları tarafından ortaya atılan yeni verilere göre, kampanyanın kapsamı çok daha büyük görünüyor.

Trend Micro kıdemli tehdit araştırmacısı Nart Villeneuve, bu hafta başlarında bir blog yayınında şunları söyledi: "11 Kasım ve 8 Kasım tarihlerinde İsrail Hükümeti'ni hedef alan {BLOCKED}[email protected] adresinden iki e-posta gönderdi." "E-postalardan biri 294 e-posta adresine gönderildi."

"E-postaların büyük çoğunluğu İsrail’in hükümetine 'mfa.gov.il' [İsrail Dışişleri Bakanlığı] 'na gönderilirken,' idf. gov.il '[İsrail Savunma Kuvvetleri] ve' mod.gov.il '[İsrail Savunma Bakanlığı], ABD Hükümeti'ne' state.gov '[ABD Dışişleri Bakanlığı] e-posta adreslerinde de önemli miktarda miktar gönderilmiştir. "Villeneuve dedi. "Diğer ABD hükümet hedefleri de" senate.gov "(ABD Senatosu) ve" house.gov "[ABD Temsilciler Meclisi] e-posta adreslerini de içeriyordu. E-posta ayrıca 'usaid.gov' [ABD Uluslararası Kalkınma Ajansı] e-posta adresine gönderildi. adresler. "

Hedefler listesinde ayrıca 'fco.gov.uk' (İngiltere Dışişleri Bakanlığı) ve 'mfa.gov.tr' (TC Dışişleri Bakanlığı) e-posta adresleri ile hükümetin adresleri de yer aldı. Araştırmacı, Slovenya, Makedonya, Yeni Zelanda ve Letonya'daki kurumları söyledi. BBC ve Quartet Temsilciler Dairesi gibi bazı sivil toplum örgütleri de hedef alındı.

Motivasyonlar belirsizdir

Trend Micro araştırmacıları, bazı yazarlarını çevrimiçi bir foruma yönlendirmek için aldatıcı belgelerden meta veri kullandılar. Bunlardan biri, DarkComet ve Xtreme RAT dahil olmak üzere çeşitli kötü amaçlı yazılım uygulamaları hakkında konuşmak veya diğer forum üyeleriyle mal ve hizmet alışverişi yapmak için "aert" takma adını kullandı, dedi.

Ancak, saldırganların motivasyonları belirsizliğini koruyor. Norman raporundan sonra, Trend Micro'nun son bulgularından sonra saldırganların İsrail ve Filistin topraklarına bağlı siyasi bir ajandaya sahip olduklarını iddia etmiş olabilir. Onları yönlendiren şeyin ne olduğunu tahmin etmek daha zor.

Trend Micro'da kıdemli tehdit araştırmacısı ve güvenlik evanjisti Ivan Macalintal, e-posta yoluyla Cuma günü yaptığı açıklamada, "Bu noktada, diğer devlet kuruluşlarını hedef alan en son gelişmeleri keşfettikten sonra bu konudaki motivasyonları net değil." dedi.

Araştırmacı, virüsün hangi bilgisayardan çalındığını belirlemek için saldırganların kullandıkları herhangi bir komut ve kontrol (C & C) sunucusunun kontrolünü ele almadığını belirtti ve araştırmacı, şu anda bunun için bir plan olmadığını söyledi.

Güvenlik şirketleri bazen saldırganların kontrol ettiği IP adreslerine kullandıkları C & C alan adlarını işaret etmek için alan adı sağlayıcılarıyla birlikte çalışır. Bu süreç "batan" olarak bilinir ve kaç bilgisayara belirli bir tehditle bulaştığını ve bu bilgisayarların kontrol sunucularına ne tür bilgiler gönderdiklerini belirlemek için kullanılır.

"Bizimle iletişim kurduk ve Macalintal, CERT'leri (belirli devletler için bilgisayar acil müdahale ekipleri) etkiledi ve gerçekten bir hasar olup olmadığını göreceğiz. "Şu anda kampanyayı şu anda aktif olarak izliyoruz ve güncellemeleri buna göre yayınlayacağız."