מחקר חושף ריגול ברשת נגד יעדים ממשלתיים ארגונים דתיים, יצרני אלקטרוניקה ואוניברסיטאות באסיה ובמזה"ת
מאת:
מערכת Telecom News, 9.6.21, 15:28
מדובר בגרסה האחרונה של הנוזקה Gelsevirine, שמשמשת את קבוצת הריגול גלסמיום (Gelsemium). הגרסה החדשה משמשת כדלת אחורית סבוכה ומודולרית ומשתמשת ב-3 רכיבים ובמערכת תוספים.
חוקרי חברת אבטחת המידע
ESET חשפו לאחרונה את הגרסה האחרונה של הנוזקה
Gelsevirine, שמשמשת את קבוצת הריגול גלסמיום (
Gelsemium). הגרסה החדשה של
Gelsevirine משמשת כדלת אחורית סבוכה ומודולרית.
על הכוונת של הקבוצה, מטרות במזרח אסיה ובמזרח התיכון, (שטחי הפעולה של קבוצת התקיפה בתמונה משמאל), ובהן ממשלות, ארגונים דתיים, יצרני אלקטרוניקה ואוניברסיטאות. נכון לעכשיו הקבוצה הצליחה להישאר מתחת לרדאר, והמחקר הוצג לראשונה בכנס השנתי הגלובלי של החברה השבוע.
קבוצת התקיפה מאוד ממוקדת ומתעסקת עם מטרות בודדות, כך, על פי נתוני הטלמטריה של החברה. בהתחשב ביכולות הקבוצה, ניתן להסיק, שהם עוסקים בריגול ברשת.
החוקר
תומאס דופוי: "שרשרת הפעילות של גלסימיום ממבט ראשון יכולה להיראות פשוטה, אך המספר הרב של התצורות בכל שלב עד לטעינת המתקפה, מקשה מאוד על ההבנה".
גלסימיום משתמשת ב-3 רכיבים ובמערכת תוספים כדי לאסוף מידע: גלסמין הטפטפת (
dropper Gelsemine), גלזניצין המטעין (
loader Gelsenicine) והתוסף הראשי גלסווירין (
main plugin Gelsevirine).
חוקרי החברה מאמינים, שגלסמיום עומדת מאחורי
מתקפת שרשרת האספקה נגד
BigNox, שהיא דיווחה עליה בעבר כמבצע
NightScout. זו הייתה מתקפה על שרשרת האספקה, שפגעה במנגנון העדכון של
NoxPlayer, אמולטור אנדרואיד למחשבי
PC ו-
Mac, וחלק ממגוון המוצרים של
BigNox, עם מעל 150 מיליון משתמשים ברחבי העולם.
החקירה העלתה חפיפה כלשהי בין מתקפת שרשרת האספקה הזו לבין קבוצת גלסמיום. קורבנות, שנפגעו במקור מאותה התקפה בשרשרת האספקה, נפגעו מאוחר יותר ע"י גלזמין.