האקרים משתמשים בשם מסנג'ר נפוץ למתקפות על גופים דיפלומטיים באסיה

נחשף גל של מתקפות ריגול סייבר ממוקדות כנגד ארגונים דיפלומטיים במרכז אסיה. את ההאקרים גילו חוקרי מעבדות קספרסקי.

הנוזקה, מסוג טרויאני בשם אוקטופוס, מתחזה לגרסה של מסנג'ר מקוון פופולרי, והיא ניצלה את החדשות באזור אסיה על אפשרות לאיסור על שימוש בתוכנת טלגרם. ברגע שהותקן, אוקטופוס מספק לתוקפים גישה מרחוק למחשבי הקורב.

על פי החוקרים, "האקרים מחפשים בהתמדה מגמות אותן ניתן לנצל לצורך פגיעה בפרטיות משתמשים ולאיסוף מידע רגיש ברחבי העולם". במקרה הזה, האיסור על שימוש בתוכנת טלגרם שעלול להתממש בקרוב, איפשר להם לתכנן את המתקפות המבוססות על הטרויאני אוקטופוס, ואלה נועדו לספק להאקרים גישה מרחוק למחשבים של קורבנות.

ארכיב קבצים המחופש לגרסה חלופית של טלגרם

ההאקרים הפיצו את אוקטופוס אל גורמי אופוזיציה קזחסטנים בתוך ארכיב קבצים המחופש לגרסה חלופית של טלגרם. קובץ ההפעלה הסתווה באמצעות סמל מוכר של אחת ממפלגות האופוזיציה באזור, והטרויאני הוחבא בפנים. ברגע שהופעל, הוא סיפק לגורמים שמאחורי ההתקפה הזדמנות לבצע מגוון פעולות עם הנתונים שבמחשב הנגוע, כולל – אבל לא רק – מחיקה, חסימה, שינוי, העתקה והורדה.

כך, התוקפים היו מסוגלים לרגל אחר קורבנות, לגנוב נתונים רגישים ולהשיג גישה אחורית למערכות. דרך הפעולה מכילה מאפיינים דומים לפעילות הריגול הידועה Zoo Park, במסגרתה הקוד הזדוני ששימש ל-APT חיקה את אפליקציית טלגרם על מנת לרגל אחר קורבנות.

באמצעות אלגוריתמים של קספרסקי שזיהו דימיון בקוד התוכנה, חוקרי האבטחה של החברה חשפו כי אוקטופוס יכול להיות קשור ל-DustSquad- קבוצת ריגול סייבר דוברת רוסית שפעילותה זוהתה מאז שנת 2014, במדינות ברית המועצות לשעבר ובמרכז אסיה, וכן באפגניסטן. במהלך השנתיים האחרונות החוקרים זיהו ארבעה קמפיינים של הקבוצה עם נוזקה ייחודית לאנדרואיד ולמערכת חלונות, אשר כוונו כנגד משתמשים פרטיים וגופים דיפלומטיים.

לדברי דניס לזגו, חוקר אבטחה בקספרסקי, "ב-2018 ראינו הרבה גורמי איום הפועלים כנגד ישויות דיפלומטיות במרכז אסיה. DustSquad פעלה באזור במהלך השנים האחרונות ויכולה גם להיות הקבוצה שמאחורי האיום החדש. נראה כי העניין בפעילות הסייבר בחלק זה של העולם צומח בהתמדה. אנו מייעצים למשתמשים ולארגונים באזור לפקוח עין על המערכות שלהם ולהורות גם לעובדים לעשות זאת".