Malware-ul Xtreme RAT vizează SUA, Marea Britanie și alte guverne

Grupul hacker care a infectat recent calculatoarele de poliție israeliene cu malware-ul Xtreme RAT a vizat, de asemenea, instituțiile guvernamentale din SUA, Marea Britanie și alte țări, potrivit cercetătorilor furnizorului de antivirus Trend Micro.

Atacatorii au trimis mesaje necinstite cu un atașament.RAR la adrese de e-mail din cadrul agențiilor guvernamentale vizate. Arhiva conține un program de executare malware executabil ca document Word, care, atunci când a rulat, a instalat malware-ul Xtreme RAT și a deschis un document de momeală cu un raport de știri despre un atac de rachete palestinieni.

Atacul a ieșit la lumină la sfârșitul lunii octombrie când poliția israeliană a închis rețeaua de calculatoare pentru a curăța malware-ul de la sistemele sale. Ca și cele mai multe programe de acces troian (RAT), Xtreme RAT oferă atacatorilor control asupra mașinii infectate și le permite să încarce documentele și alte fișiere înapoi pe serverele lor.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

După analizarea probelor de malware folosite în atacul poliției israeliene, cercetătorii de securitate de la vânzătorul antivirus norvegian Norman au descoperit o serie de atacuri mai vechi de la începutul acestui an și la sfârșitul lui 2011, care vizau organizațiile din Israel și teritoriile palestiniene. Constatările lor au pictat imaginea unei operațiuni de cyberespionage efectuate de aceeași grupă de atacatori din regiune.

Totuși, conform datelor noi descoperite de cercetători de la Trend Micro, domeniul de acțiune al campaniei pare să fie mult mai mare. > "Am descoperit două e-mailuri trimise de la {BLOCKED}[email protected] pe 11 noiembrie și 8 noiembrie, care vizează în primul rând Guvernul Israelului", a declarat Nart Villeneuve, cercetător la Trend Micro senior threat, într-un post de blog lansat la începutul acestei săptămâni. "Unul dintre e-mailuri a fost trimis la 294 adrese de e-mail."

"În timp ce marea majoritate a e-mailurilor au fost trimise guvernului Israelului la" mfa.gov.il "," idf. gov.il "și" mod.gov.il "[Ministerul Apărării al Israelului], o sumă semnificativă au fost trimise de asemenea guvernului Statelor Unite la adresele de e-mail" state.gov "[Departamentul de Stat al SUA] A spus Villeneuve. "Alte obiective guvernamentale americane includ, de asemenea, adresele de poștă electronică" Senate.gov "[US Senate] și" house.gov "[Statele Unite ale Camerei Reprezentanților]. E-mailul a fost, de asemenea, trimis la" usaid.gov " adresele. "

Lista obiectivelor a inclus, de asemenea, adresele de e-mail" fco.gov.uk "și adresele de e-mail" mfa.gov.tr ​​"(Ministerul Afacerilor Externe al Turciei), precum și adresele din partea guvernului instituțiile din Slovenia, Macedonia, Noua Zeelandă și Letonia, a spus cercetătorul. Unele organizații neguvernamentale, cum ar fi BBC și Reprezentantul Cvartetului, au fost, de asemenea, vizate.

Motivațiile neclare

Cercetătorii Trend Micro au folosit metadatele din documentele de momeală pentru a le urmări pe unii dintre autori la un forum on-line. Unul dintre aceștia a folosit aliasul "aert" pentru a vorbi despre diverse aplicații malware, inclusiv DarkComet și Xtreme RAT, sau pentru a face schimb de bunuri și servicii cu alți membri ai forumului, a spus Villeneuve

Motivele atacatorilor rămân însă neclare. Dacă, după raportul Norman, s-ar fi putut specula că atacatorii au o agendă politică legată de Israel și teritoriile palestiniene, după ultimele descoperiri ale Trend Micro. "Motivele lor sunt destul de neclar în acest moment, după ce au descoperit această ultimă evoluție a direcționării către alte organizații de stat", a declarat Ivan Macalintal, cercetător senior în domeniul amenințărilor și evanghelist de securitate la Trend Micro, vineri prin e-mail.

Trend Micro nu a preluat controlul asupra oricăror servere de comandă și control (C & C) folosite de atacatori pentru a determina ce date sunt furate de pe computerele infectate, a spus cercetătorul, adăugând că nu există intenții în acest moment.

Companiile de securitate lucrează uneori cu furnizorii de domenii pentru a indica nume de domenii C & C folosite de atacatori pentru a le adresa IP aflată sub controlul lor. Acest proces este cunoscut sub numele de "sinkholing" și este folosit pentru a determina câte computere au fost infectate cu o anumită amenințare și ce fel de informații trimite acele computere la serverele de control.

"Am contactat și lucrăm cu CERT [echipele de răspuns la situații de urgență la computer] pentru anumite stări afectate și vom vedea dacă s-au făcut într-adevăr daune ", a spus Macalintal. "Încă monitorizăm în mod activ campania de acum și vom posta actualizările în consecință."