נחשפה קבוצת ריגול בסייבר, הפועלת נגד יעדים ממשלתיים באסיה

נחשפה קבוצת ריגול בסייבר, הפועלת נגד יעדים ממשלתיים באסיה. חוקרי ESET חשפו את הגירסה האחרונה של הנוזקה Gelsevirine, אשר משמשת את קבוצת הריגול גלסימיום (Gelsemium). הגירסה החדשה של Gelsevirine משמשת כדלת אחורית סבוכה ומודולרית.

על הכוונת של הקבוצה: מטרות במזרח אסיה ובמזרח התיכון, בהן ממשלות, ארגונים דתיים, יצרני אלקטרוניקה ואוניברסיטאות. עד עכשיו הקבוצה הצליחה להישאר מתחת לרדאר.

שטחי הפעולה של קבוצת התקיפה. מקור: ESET

קבוצת התקיפה מאוד ממוקדת ומתעסקת עם מטרות בודדות, כך על פי נתוני הטלמטריה שלESET . בהתחשב ביכולות הקבוצה, ניתן להסיק כי היא עוסקת בריגול ברשת. "ממבט ראשון, שרשרת הפעילות של גלסימיום יכולה להיראות פשוטה, אך המספר הרב של התצורות, בכל שלב עד לטעינת המתקפה, מקשה מאוד על ההבנה", אמר החוקר תומאס דופוי.

על פי המחקר החדש, גלסימיום משתמשת בשלושה רכיבים ובמערכת תוספים על מנת לאסוף מידע מהקורבנות. האחד – dropper Gelsemine, השני – loader Gelsenicine והשלישי – התוסף הראשי Gelsevirine.

חוקרי ESET מאמינים, כי קבוצת גלסימיום עומדת מאחורי מתקפת שרשרת האספקה נגד BigNox – אשר הם דיווחו עליה בעבר, כמבצע NightScout. זו הייתה מתקפה על שרשרת האספקה שפגעה במנגנון העדכון של NoxPlayer – אמולטור אנדרואיד למחשבי PC ו-Mac, ובחלק ממגוון המוצרים של BigNox – עם יותר מ-150 מיליון משתמשים ברחבי העולם.

כך, החקירה העלתה חפיפה כלשהי בין מתקפת שרשרת האספקה הזאת לבין קבוצת גלסימיום. קורבנות שנפגעו במקור מאותה התקפה בשרשרת האספקה – נפגעו מאוחר יותר על ידי Gelsemine.