נחשף ZooPark: שחקן ריגול התוקף מטרות פוליטיות במזרח התיכון ובעיקר באיראן

מאת: מערכת Telecom News, 3.5.18, 18:18

בסך הכל, זוהו 4 דורות של קוד זדוני למטרות ריגול הקשור ב-ZooPark. לא ידוע בוודאות מי עומד מאחורי הקוד הזדוני. עם זאת, חלק מתשתית הפיקוד והשליטה הקשור ב-ZooPark, רשום על שם משתמשים איראנים.

חוקרי מעבדת קספרסקי חשפו את ZooPark - קמפיין ריגול מתוחכם, שבמשך מספר שנים תקף משתמשי אנדרואיד במזרח התיכון, בעיקר באיראן. נראה, שהקמפיין, שהתבסס על אתרים לגיטימיים כמקור להדבקת המשתמשים, פועל במימון מדינה והוא ממוקד בארגונים פוליטיים ומטרות אחרות באזור.

החוקרים קיבלו לבדיקה דוגמית של קוד אנדרואיד בלתי מוכר. במבט ראשון נראה היה, שהקוד הזדוני אינו רציני: כלי ריגול סייבר פשוט מאוד מבחינה טכנולוגית. עם זאת, שם הקובץ לא היה שגרתי בכלל: Kurdistan.apk. החוקרים החליטו לחקור לעומק, ובנקודה מסוימת גילו גרסה עדכנית ומתוחכמת בהרבה של אותה אפליקציה.

חלק מהאפליקציות הזדוניות של ZooPark מופצות דרך אתרי חדשות ופוליטיקה פופולריים במזרח התיכון, כשהן מוסוות כאפליקציות לגיטימיות עם שמות כגון TelegramGroups ו-Alnahargypt. לאחר ביצוע הדבקה, מספק הקוד הזדוני לתוקף יכולות משמעותיות, לרבות חילוץ של אנשי קשר, נתוני חשבון, רישום שיחות והקלטות של שיחות, תמונות המאוחסנות על כרטיס ה-SD, מיקום GPS, הודעות SMS, פרטים של אפליקציות מותקנות ונתוני גלישה ולחיצות ונתוני מקלדת.

בנוסף, יש לקוד הזדוני מספר יכולות דלת אחורית, לרבות שליחה שקטה של SMS, ביצוע שקט של שיחות והפעלת פקודות shell. יכולת זדונית נוספת כוונה כנגד אפליקציות מסרים מידיים, כגון טלגרם, WhatsApp, IMO, דפדפן כרום ואפליקציות אחרות. היא מאפשרת לקוד הזדוני לגנוב את בסיסי הנתונים הפנימיים של האפליקציות המותקפות. עבור הדפדפן לדוגמא, המשמעות תהיה, שהסיסמאות, שהוא מאחסן עבור אתרים אחרים, תהיינה בסכנת חשיפה.
 
עפ"י תוצאות החקירה, הגורמים, שמאחורי הפעילות הזו, נמצאים במצוד אחר משתמשים פרטיים במצרים, ירדן, מרוקו, לבנון ואיראן. בהתבסס על הנושאים החדשותיים, שהתוקפים השתמשו כדי לפתות את הקורבנות להתקין את הקוד הזדוני, ניתן לזהות, בין היתר, קורבנות בקרב תומכים כורדים וחברים בסוכנות ה- Relief and Works של האו"ם אשר ממוקמת בעמאן.

"יותר ויותר אנשים משתמשים במכשירים הניידים שלהם כאמצעי תקשורת מרכזי ולעיתים אף יחיד. שחקנים במימון מדינה בהחלט שמו לב למגמה, והם בונים את מערך הכלים שלהם כך, שיהיה יעיל כדי לעקוב אחר משתמשים ניידים. ה-ZooPark APT, שמבצע מעקב פעיל אחר מטרות במדינות במזרח התיכון, הוא דוגמא לכך, ולבטח הוא לא הדוגמה היחידה.

בסך הכל, חוקרי החברה הצליחו לזהות לפחות 4 דורות של קוד זדוני למטרות ריגול הקשור ב- ZooPark - קמפיין הפעיל מאז 2015 לפחות. לא ידוע בוודאות מי עומד מאחורי הקוד הזדוני ZooPark. עם זאת, בהתבסס על מידע זמין לציבור, חלק מתשתית הפיקוד והשליטה הקשור ב-ZooPark, רשום על שם משתמשים איראנים.

פרטים נוספים על איום ה-ZooPark - כאן.