Lajmet

Xtreme RAT malware shënjestron qeverinë amerikane dhe britanike

Nov 28 2012
0 Shpërndarje
Xtreme RAT malware shënjestron qeverinë amerikane dhe britanike

Grupi i hakerëve që kohët e fundit infektoi kompjuterët e policisë izraelite me malware “Xtreme”, ka shënjestruar gjithashtu institucionet qeveritare të SHBA-ve, Britanisë së Madhe dhe vendeve të tjera, sipas kërkuesve nga kompania e antiviruseve Trend Micro. Sulmuesit kanë dërguar mesazhe mashtruese me një atashment .RAR në adresat e e-maileve në agjencitë qeveritare.

Arkivi përmbante një ekzekutues qëllimkeq i cili maskohej si dokument Word, që kur aktivizohej, instalonte malware Xtreme RAT dhe hapte një dokument karrem i cili jepte një lajm për një sulm me raketë nga palestinezët. Sulmi është bërë i njohur në fund të muajit tetor, kur policia izraelite e fiku rrjetin e vet të kompjuterëve për ta pastruar malware nga sistemi i saj.

Ashtu si shumica e programeve Trojan nga distanca (RAT), Xtreme RAT u jep sulmuesve kontroll mbi makinat e infektuara dhe u lejon të ngarkojnë dokumente dhe skedarë të tjerë në serverët e tyre. Pasi kanë analizuar mostra të malware të përdorur në sulmet kundër policisë izraelite, kërkuesit e sigurisë nga kompania norvegjeze e shitjes së antiviruseve Norman ka zbuluar një sërë sulmesh të tjera në fillim të këtij viti dhe në fund të 2011-ës, të cilat kanë pasur si objektiv organizata me qendër në Izrael dhe në territoret palestineze. Zbulimet e tyre kanë ilustruar tablonë e një operacioni njëvjeçar cyber-spiunazhi nga i njëjti grup sulmuesish në rajon.

Megjithatë, sipas të dhënave të reja të zbuluara nga kërkuesit e Trend Micro, synimi i fushatës duket se është më i gjerë. “Kemi zbuluar dy e-maile të dërguara nga {BLOCKED}[email protected] më 11 nëntor dhe 8 nëntor që kishte shënjestruar Qeverinë e Izraelit”,- thotë kërkuesi kryesor për kërcënimet në Trend Micro, Nart Villeneuve, në një postim në një blog këtë javë.”Njëri prej e-maileve iu dërgua 294 adresave të e-mailit.”

“Pjesa dërrmuese e e-maileve iu dërgua Qeverisë së Izraelit në ‘mfa.gov.il’ [Ministria e Jashtme e Izraelit], ‘idf.gov.il’ [Forcat e Mbrojtjes së Izraelit] dhe ‘mod.gov.il’ [Ministrisë së Mbrojtjes së Izraelit], një sasi e madhe iu dërgua edhe Qeverisë së SHBA-ve në adresat e [Departamentit të Shtetit] me ‘state.gov'”, thotë Villeneuve. “Objektiva të tjera qeveritare në SHBA ishin adresat e e-mailit ‘senate.gov’ [Senati i SHBA-ve] dhe ‘house.gov’ [Dhoma e Përfaqësuesve të SHBA-ve]. E-maili iu dërgua edhe adresave të e-mailit ‘usaid.gov’ [Agjencia e SHBA për Zhvillimin Ndërkombëtar].”

Lista e shënjestrave përfshinte gjithashtu adresat e e-mailit të ‘fco.gov.uk’ (Ministria e Jashtme & Komonuelthit) dhe ‘mfa.gov.tr’ (Ministria e Jashtme e Turqisë), si dhe adresa të tjera nga institucione qeveritare në Slloveni, Maqedoni, Zelandë e Re dhe Letoni. Edhe disa organizata të tjera joqeveritare nuk i kanë shpëtuar sulmit, si BBC dhe Zyra e Përfaqësuesit të Kuartetit.

Motivet e këtyre sulmeve mbeten të paqarta

Kërkuesit e Trend Micro kanë përdorur metadata nga dokumentet mashtruese për të gjurmuar disa prej autorëve në një forum online. Njëri prej tyre përdorte pseudonimin “aert” për të folur për disa aplikacione të ndryshme malware përfshi DarkComet dhe Xtreme RAT ose për të shkëmbyer mallra dhe shërbime me anëtarë të tjerë të forumit. Sidoqoftë, motivet e autorëve mbeten të paqarta. Nëse, pas raportit Norman, dikush mund të ketë spekuluar se sulmuesit kanë një axhendë politike që ka të bëjë me Izraelin dhe territoret palestineze, pas zbulimeve të fundit nga Trend Micro është e vështirë të hamendësosh se çfarë i shtyn ata. “Motivet e tyre janë të paqarta për momentin, sidomos pas zbulimeve të fundit se kanë vënë në shënjestër edhe organizata të tjera shtetërore”, thotë Ivan Macalintal, kërkues i lartë mbi kërcënimet dhe predikues i sigurisë në Trend Micro. Trend Micro nuk ka marrë nën kontroll serverët komandues dhe kontrollues (C&C) të përdorur nga sulmuesit me qëllim që të përcaktojë se ç’lloj të dhënash janë duke u vjedhur nga kompjuterët e infektuar, ka thënë kërkuesi, duke shtuar se nuk kanë në plan ta bëjnë diçka të tillë për momentin.

Kompanitë e sigurimit ka raste që punojnë me ofruesit e domaineve për të pikasur emrat e domaineve të C&C që përdoren nga sulmuesit dhe IP adresat që kanë nën kontroll. Ky proces njihet ndryshe me emrin “sinkholing” dhe përdoret për të përcaktuar se sa shumë kompjuterë janë infektuar nga një kërcënim i caktuar dhe se ç’lloj informacioni këta kompjuterë po dërgojnë pas te serverët kontrollues. “Ne kemi kontaktuar dhe jemi duke bashkëpunuar me CERT [ekipet e reagimit të emergjencës] në shtetet e prekura nga sulmi dhe do të shohim nëse ka pasur dëm”, është shprehur Macalintal. “Ne jemi duke e monitoruar këtë fushatë për momentin dhe do të postojmë lajme të tjera në varësi të saj.” (PCWorld Albanian)

Lajmet e fundit>