Tal Pavel

נסיון להונאת פישינג נגד פעילים טיבטיים

/ב , , /על ידי

חברת האבטחה ESET פרסמה ב-14 בנובמבר על הפצת נוזקה מסוג (Gh0st RAT (Win32/Farfli ככל הנראה נגד פעילים טיבטיים, עם כינוס ועידת G20 באוסטרליה. במסגרת ניתוח הארוע התברר כי נעשה שימוש בקוד במונח “LURK0”, בו נעשה שימוש בעבר בעת תקיפות שכאלה נגד קבוצות טיבטיות.

LURK0_Tibet

בחינה מעמיקה יותר הצליחה לשחזר הודעת דוא"ל אשר נשלחה לכאורה מאת <Tibet Press <tibet.press@aol.com והפיצה נוזקה זו בקרב גורמים טיבטיים;

email_G20_Summit

זוהי מתקפה מסוג spear phishing במהלכה מנסה התוקף לפתות את הקורבן לפתוח את הקובץ הנגוע המצורף להודעה תוך שימוש במידע על הפגנה אשר אורגנה על ידי Australian Tibet Council. כאשר למעשה נלקחה ההודעה בדוא"ל זה ישירות מאתר הארגון ונשלחה אל European Central Tibetan Administration.

להודעת הדוא"ל צורף קובץ Word הנושא את השם “A_Solution_for_Tibet.doc” אשר משעה שיפתח, יתקין על מחשב הקורבן Gh0st RAT בתיקיה הבאה C:Documents and SettingsAdministratorApplication DataMicbt.

לאחר התקנתו ינסה ה-RAT ליצור קשר עם שני דומיינים; mailindia.imbss.in, godson355.vicp.cc

אין זו הפעם הראשונה בה נעשה נסיון להדביק בנוזקות פעילים טיבטיים ואף לרגל אחריהם באמצעים אלו; ב-24 במרץ 2013 איתרו מומחי חברת קספרסקי התקפה מקוונת ייחודית נגד גורמים טיבטיים ופעילי זכויות אדם באמצעות פעולה דומה של משלוח הודעה נגועה, אך הפעם למכשירי הסלולר של הקורבנות.

Tal Pavel

קספרסקי איתרו התקפה מקוונת על מכשירי אנדרואיד

/ב , , , /על ידי

ב-24 במרץ איתרו מומחי חברת קספרסקי התקפה מקוונת ייחודית נגד גורמים טיבטיים ופעילי זכויות אדם.

במועד זה נפרצה תיבת המייל של פעיל טיבטי בולט, ממנה נשלחו הודעות מייל מסוג "דיוג" (Phishing) לרשימת אנשי הקשר שלו. הודעת המייל, לכאורה בדבר הקונגרס העולמי של האויגורים ב-22 במרץ 2013, כללה צרופה בשם WUC's Conference מסוג APK – קובץ Android Package.

לדברי המומחים, קובץ זה הוא נוזקה שזוהתה על ידם בעבר בשם "Backdoor.AndroidOS.Chuli.a". לאחר פתיחת הקובץ במכשיר מסוג Android, נפתחת תיקיה בשם Conference על "שולחן העבודה" של הסמארטפון.

עם פתיחת התיקיה הוצגה בפני המשתמש הודעה בדבר הארוע הצפוי;

כאשר קרא הקורבן את ההודעה, העבירה בינתיים הנוזקה בחשאי מידע על ההדבקה לשרת פיקוד ושליטה. לאחר מכן החלה הנוזקה לאסוף מידע על המכשיר הנגוע ובכלל זה; אנשי קשר (הן אלו שעל זכרון המכשיר והן אלו שעל כרטיס ה-SIM); רישום השיחות; הודעות SMS; מיקום פיזי; נתונים כללים אודות המכשיר.

ברגע המתאים, מצפינה הנוזקה את המידע ושולחת אותו לשרת הפיקוד והשליטה המצוי בארה"ב ונרכש בתחילת חודש מרץ על ידי חברה סינית. חוקרי קספרסקי הצליחו לנתח את הנעשה על שרת זה אשר לטענתם הותקן כך שיתאים לשפה הסינית. אלו מצביעים על התוקפים כדוברי סינית ומציינים כי למרות ההתקפות הרבות מספור בפניהם מצויים פעילים טיבטיים ואויגורים, הרי שמרביתן הן נגד מערכות מחשב חלונאיות, הם מציינים כי זו הפעם הראשונה בה נתקלו בהתקפה מקוונת נגד מכשירים סלולריים באופן שכזה.

התוקפים הסתמכו לחלוטין על הנדסה חברתית במטרה להשפיע על הקורבנות לפתוח את הקובץ שהגיע ממקור המוכר להם היטב ובכך לגרום להדבקת מכשיר הטלפון שלהם, גניבת כל הנתונים שבו ושליחתם בצורה מוצפנת לשרת מרוחק הנשלט ככל הנראה על ידי ידיים סיניות.