נחשפה גרסה חדשה של הדלת האחורית ComRAT המשתמשת בממשק Gmail
מאת:
מערכת Telecom News, 26.5.20, 13:30
קבוצת התקיפה "טורלה" משתמשת בממשק של Gmail כדי לשלוט מרחוק על מחשבים. מדובר בגרסה חדשה לאחת ממשפחות הנוזקות הוותיקות המנוהלות על ידה - הדלת האחורית ComRAT, שידועה גם בשם Agent.BTZ.
חוקרי חברת אבטחת המידע
ESET חשפו גרסה חדשה לאחת ממשפחות הנוזקות הוותיקות המנוהלות ע"י קבוצת התקיפה טורלה, הדלת האחורית
ComRAT. טורלה, הידועה גם בשם
Snake, היא קבוצת ריגול סייבר ידועה לשמצה הפועלת למעלה מעשור.
ComRAT, שידועה גם בשם
Agent.BTZ, היא דלת אחורית זדונית, שנחשפה לאחר השימוש בה בפריצה לרשת המחשבים של צבא ארה"ב ב-2008. הגרסה הראשונה של תוכנה זדונית זו, שוחררה ככל הנראה ב-2007, והציגה יכולות של נוזקות מסוג תולעת ע"י התפשטות באמצעות כוננים נשלפים.
השדרוג לדלת האחורית התגלה לראשונה ע"י
ESET ב-2017. היא משתמשת בבסיס קוד חדש לחלוטין ומורכב בהרבה מקודמיו. השימוש האחרון בדלת האחורית, שראו חוקרי החברה, בוצע בנובמבר של השנה שעברה.
התכונה המעניינת ביותר של
הגרסה העדכנית של הדלת האחורית היא השימוש שלה בממשק המשתמש של
Gmail לקבלת פקודות ולסינון נתונים.
ComRAT גונבת מסמכים רגישים, ומאז 2017 היא תקפה לפחות 3 מוסדות ממשלתיים.
ESET מצאה אינדיקציות לכך, ש
הגרסה האחרונה של
ComRAT הייתה עדיין בשימוש בתחילת 2020, מה שמראה, שקבוצת טורלה עדיין פעילה מאוד ומהווה איום גדול עבור דיפלומטים וצבאות.
השימוש העיקרי ב-
ComRAT הוא גניבת מסמכים מסווגים. באחד המקרים, מפעיליה אף החדירו קובץ הרצה, שנכתב בשפת התכנות
NET, שיצר אינטראקציה עם מסד הנתונים של שרת ה-
SQL המרכזי של הקורבן המכיל את מסמכי הארגון.
מפעילי התוכנה הזדונית השתמשו בשירותי ענן ציבוריים כמו
OneDrive ו-4
shared כדי לגנוב מידע. הדלת האחורית העדכנית של טורלה יכולה לבצע פעולות נוספות במחשבים נפגעים, דוגמת הפעלת תוכנות נוספות וגניבת קבצים.
מתיו פו, שחוקר את הקבוצה הידועה לשמצה מזה מספר שנים: "העובדה, שהתוקפים מנסים להתחמק מתוכנות אבטחה, היא מדאיגה. זה מעיד על רמת התחכום הגבוהה של הקבוצה ואת כוונתה להישאר באותם מחשבים זמן רב.
בנוסף, בזכות השימוש בממשק האינטרנט של
Gmail, הגרסה האחרונה של משפחת התוכנות הזדוניות
ComRAT, מסוגלת לעקוף כמה מנגנוני אבטחה משום שהיא אינה נשענת דומיין זדוני כלשהו, שעלול להיחסם ע"י האנטי וירוס.
על סמך הקורבנות ודגימות התוכנות הזדוניות האחרות, שנמצאו באותן מכונות פגועות, אנו מאמינים, ש-
ComRAT נמצא בשימוש אך ורק ע"י טורלה".
המאמר המלא - כאן.