רוגלה – עמוד 2

צרפת חשודה בריגול קיברנטי

30 מרץ 2014/ב צרפת, רוגלה /על ידי ג'רמי מקובסקי

לפי העיתון הצרפתי "Le Monde" ולאחר חקירה ארוכה שנוהלה על ידי המודיעין הקנדי, נמצא כי צרפת מעורבת בריגול קיברנטי. המידע הגיע לעיתון לאחר ההדלפות של Edward Snowden. לפי המסמך שהודלף, המודיעין הקנדי מבצע איסוף מידע אוטומטי מהאינטרנט על בסיס יומי, לאחר מכן המידע מעובד על ידי תוכנת מחשב על מנת לאתר פעילות חריגה דוגמת תעבורת קבצים או פעילויות לא שגרתיות. בחלקים גדולים מהמידע שנוטר, מצאו הקנדים חלקי קוד של תוכנה שזוהתה ככזו המסוגלת לבצע פעילויות בלתי שגרתיות. שירות המודיעין הקנדי החליט לקרוא לתוכנה "Snowglobe".

לאחר ניתוח מעמיק של הקוד, מהנדסי המודיעין הקנדי הגיעו למסקנה, כי עם השתלת התוכנה במחשב מסוים היא תוכל לאסוף מידע ולשלוח אותו לשרתים אשר מוגדרים בה מראש. נמסר כי לאחר ניתוח התוכנה יפנו מומחי המודיעין הקנדי לבחון את השרתים אשר נראה כי הם אמורים "להאזין" ולשלוט בצורה מרוחקת על מחשבי היעד.

על מנת לבדוק מי עומד מאחורי פיתוח התכנה הזאת, שירות המודיעין הקנדי אסף מספר רכיבים מהתוכנה. נטען כי נמצא בה ככל הנראה שמו של אחד המפתחים אשר פיתח בעבר רוגלה בשם "Titi", שם אשר אמור להיות שם צרפתי קצר. יתר על כן הם מצאו שהמפתחים השתמשו ב-Kilo octet כאמצעי מדידה ולא כמקובל ב-Kilo byte. לבסוף הקנדים מצאו שהשם שניתן לתכנת הריגול היה "Babar", שמה של דמות צרפתית מפורסמת לילדים. לאור כל המידע שהיה בידם, הגיעו הקנדים למסקנה כי צרפת עומדת מאחורי תוכנה זו.

נראה כי צרפת החלה במבצע זה בשנת 2009. עוד נמסר כי המבצע אמור היה להתמקד במוסדות איראניים אשר יש להם חלק בתכנית הגרעין. אולם נטען כי המודיעין הקנדי מצא את תוכנת הריגול גם בספרד, יוון, נורבגיה, חוף השנהב ובאלג'ריה.

Uroburos: תוכנת ריגול בסכסוך הרוסי-אוקראיני

24 מרץ 2014/ב אוקראינה, רוגלה /על ידי ג'רמי מקובסקי

חברת האבטחה הגרמנית-G-Data גילתה לאחרונה תוכנה זדונית מורכבת וחדשה שנקראת "Uroburos". על פי החברה, מטרתה של התוכנה לגנוב מידע באמצעות חדירה לרשתות בעזרת תשתית P2P כדי לגשת לבסיסי נתונים, גם ממחשבים שלא מתפקדים כשרתים. Uroburos מכילה רכיב rootkit יחד עם מערכת קבצים מוצפנת וירטואלית. תוקפים יכולים להשתמש בתוכנה הזדונית על מנת להשתלט על מחשב נגוע, לבצע כל קוד תוכנה במחשב ולהסתיר את מעשיהם. Uroburos תומך במערכת הפעלה Microsoft Windows מגרסאות 32 ו-64 ביטים.

המבנה המודולרי שלה מאפשר לתוקפים לשפר את התוכנה ביכולות נוספות. בשל מורכבותה, דרגה חברת G-Data את התוכנה כמתקדמת מאוד ומסוכנת, ולטענתה היא ככל הנראה תוצר של שירותי ביון רוסים. בהתבסס על הפרטים הטכניים, הנוזקה דומה ל-Agent.BTZ, תוכנה הרוסית אשר שימשה לשיגור התקפות קיברנטיות במהלך שנת 2008 נגד ארה"ב. החברה מצאה גם סימנים לכך שהמפתחים של שתי התוכנות היו ככל הנראה דוברי רוסית. יתר על כן, חברת האבטחה הבריטית BAE Systems זיהתה 14 מקרים של Uroburos באוקראינה בהקשר של הסכסוך בין רוסיה לאוקראניה. עד היום לא ניתן לדעת דרכי חדירתה של התוכנה לרשתות, אולם ידוע כי ההתקפות יכולות להתבצע בדרכים שונות ובכלל זה התחזות או תקיפות מסוג ההנדסה חברתיות.

מלאזיה: חמישה מנהיגי מפלגה טוענים כי נפרצו הטלפונים הסלולריים שברשותם

15 מרץ 2014/ב מלאזיה, ממשל, רוגלה /על ידי Tal Pavel

בידיעה מה-14 במרץ נטען כי חמישה ממנהיגיה הבכירים של מפלגת PKR המלאזית טוענים כי הטלפונים הסלולריים שברשותם נפרצו. אלו גילו את דבר הפריצה לאחר שנודע להם על הודעות טקסט אשר נשלחו לכאורה מטעמם ובהן נמתחה ביקורת על השותפות עם מפלגת DAP. מנהל התקשורת של המפלגה מסר כי לא נשלחו מעולם מסרים אשר יהרסו ברית זו. הוא הוסיף כי המפלגה מגנה טקטיקות מלוכלכות בהן משתמשים גורמים בלתי אחראים אשר להם כוונות זדוניות ליצור איבה בין מפלגות.

ההודעות שנשלחו מתחו לכאורה ביקורת על העדר תמיכה במסע הבחירות ב-Kajang אשר אמורות להערך ב-23 מרץ.

קספרסקי איתרו התקפה מקוונת על מכשירי אנדרואיד

1 אפריל 2013/ב הנדסה חברתית, טיבט, סלולר, רוגלה /על ידי Tal Pavel

ב-24 במרץ איתרו מומחי חברת קספרסקי התקפה מקוונת ייחודית נגד גורמים טיבטיים ופעילי זכויות אדם.

במועד זה נפרצה תיבת המייל של פעיל טיבטי בולט, ממנה נשלחו הודעות מייל מסוג "דיוג" (Phishing) לרשימת אנשי הקשר שלו. הודעת המייל, לכאורה בדבר הקונגרס העולמי של האויגורים ב-22 במרץ 2013, כללה צרופה בשם WUC's Conference מסוג APK – קובץ Android Package.

לדברי המומחים, קובץ זה הוא נוזקה שזוהתה על ידם בעבר בשם "Backdoor.AndroidOS.Chuli.a". לאחר פתיחת הקובץ במכשיר מסוג Android, נפתחת תיקיה בשם Conference על "שולחן העבודה" של הסמארטפון.

עם פתיחת התיקיה הוצגה בפני המשתמש הודעה בדבר הארוע הצפוי;

כאשר קרא הקורבן את ההודעה, העבירה בינתיים הנוזקה בחשאי מידע על ההדבקה לשרת פיקוד ושליטה. לאחר מכן החלה הנוזקה לאסוף מידע על המכשיר הנגוע ובכלל זה; אנשי קשר (הן אלו שעל זכרון המכשיר והן אלו שעל כרטיס ה-SIM); רישום השיחות; הודעות SMS; מיקום פיזי; נתונים כללים אודות המכשיר.

ברגע המתאים, מצפינה הנוזקה את המידע ושולחת אותו לשרת הפיקוד והשליטה המצוי בארה"ב ונרכש בתחילת חודש מרץ על ידי חברה סינית. חוקרי קספרסקי הצליחו לנתח את הנעשה על שרת זה אשר לטענתם הותקן כך שיתאים לשפה הסינית. אלו מצביעים על התוקפים כדוברי סינית ומציינים כי למרות ההתקפות הרבות מספור בפניהם מצויים פעילים טיבטיים ואויגורים, הרי שמרביתן הן נגד מערכות מחשב חלונאיות, הם מציינים כי זו הפעם הראשונה בה נתקלו בהתקפה מקוונת נגד מכשירים סלולריים באופן שכזה.

התוקפים הסתמכו לחלוטין על הנדסה חברתית במטרה להשפיע על הקורבנות לפתוח את הקובץ שהגיע ממקור המוכר להם היטב ובכך לגרום להדבקת מכשיר הטלפון שלהם, גניבת כל הנתונים שבו ושליחתם בצורה מוצפנת לשרת מרוחק הנשלט ככל הנראה על ידי ידיים סיניות.