Xtreme RAT-malware target VS, VK, andere regeringen

De hackergroep die onlangs Israëlische politiecomputers met de Xtreme RAT-malware heeft geïnfecteerd, heeft zich ook gericht op overheidsinstellingen uit de VS, het VK en andere landen, volgens onderzoekers van antivirusleverancier Trend Micro.

De aanvallers stuurden bedrieglijke berichten met een.RAR-bijlage naar e-mailadressen binnen de beoogde overheidsinstanties. Het archief bevatte een schadelijk uitvoerbaar vermomd programma als een Word-document dat, wanneer het werd uitgevoerd, de Xtreme RAT-malware installeerde en een aanvalsdocument met een nieuwsbericht over een Palestijnse raketaanval opende.

De aanval kwam aan het licht eind oktober toen de Israëlische politie heeft haar computernetwerk gesloten om de malware van haar systemen te verwijderen. Net als de meeste Remote Access Trojan-programma's (RAT's), geeft Xtreme RAT aanvallers controle over de geïnfecteerde machine en stelt ze hen in staat documenten en andere bestanden terug te zetten naar hun servers.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Na analyse van de malwarestalen die bij de Israëlische politie-aanval werden gebruikt, ontdekten beveiligingsonderzoekers van de Noorse antivirus-leverancier Norman een reeks oudere aanvallen van eerder dit jaar en eind 2011 die gericht waren op organisaties in Israël en de Palestijnse gebieden. Hun bevindingen schetsen het beeld van een cyberespionage-operatie van een jaar, uitgevoerd door dezelfde groep aanvallers in de regio.

Volgens nieuwe gegevens die zijn ontdekt door onderzoekers van Trend Micro, lijkt het bereik van de campagne echter veel groter te zijn

"We hebben op 11 november en 8 november twee e-mails van {BLOCKED}[email protected] die voornamelijk gericht waren op de regering van Israël, ontdekt", onderzoekt Nart Villeneuve, onderzoeker van Trend Micro, eerder deze week in een blogpost. "Een van de e-mails werd verzonden naar 294 e-mailadressen."

"Terwijl de overgrote meerderheid van de e-mails naar de regering van Israël werd gestuurd op 'mfa.gov.il' [Israëlisch ministerie van Buitenlandse Zaken], 'idf. gov.il '[Israel Defence Forces] en' mod.gov.il '[Israëlisch Ministerie van Defensie], werd een aanzienlijk bedrag ook naar de Amerikaanse overheid gestuurd op' state.gov 'e-mailadressen van het Amerikaanse ministerie van Buitenlandse Zaken, 'Villeneuve zei. Andere doelen van de Amerikaanse overheid waren ook 'senate.gov' en 'house.gov' e-mailadressen.De e-mail werd ook verzonden naar 'usaid.gov' e-mail van het Amerikaanse Agentschap voor Internationale Ontwikkeling adressen. "

De lijst met doelen omvatte ook 'fco.gov.uk' (Britse Foreign & Commonwealth Office) en 'mfa.gov.tr' (Turkse Ministerie van Buitenlandse Zaken) e-mailadressen, evenals adressen van de overheid instellingen in Slovenië, Macedonië, Nieuw-Zeeland en Letland, zei de onderzoeker. Sommige niet-gouvernementele organisaties zoals de BBC en het Bureau van de vertegenwoordiger van het Kwartet, waren ook doelwit.

Motivaties onduidelijk

De Trend Micro-onderzoekers gebruikten metadata van de lokdocumenten om een ​​aantal van hun auteurs op te sporen naar een online forum. Een van hen gebruikte de alias "aert" om te praten over verschillende malwaretoepassingen, waaronder DarkComet en Xtreme RAT, of om goederen en diensten uit te wisselen met andere forumleden, zei Villeneuve.

De beweegredenen van de aanvallers blijven echter onduidelijk. Als na het Norman-rapport zou kunnen worden gespeculeerd dat de aanvallers een politieke agenda hebben die is gekoppeld aan Israël en de Palestijnse gebieden, na de laatste bevindingen van Trend Micro. het is moeilijker om te raden wat hen drijft.

"Hun motivaties zijn op dit moment vrij onduidelijk nadat ze deze nieuwste ontwikkeling van het richten van andere staatsorganisaties hebben ontdekt," zei Ivan Macalintal, senior onderzoeker op het gebied van bedreigingen en veiligheidsevangelist bij Trend Micro, vrijdag via e-mail.

Trend Micro heeft geen controle over de commando- en controle-servers (C & C) die door de aanvallers worden gebruikt om te bepalen welke gegevens van de geïnfecteerde computers worden gestolen, zei de onderzoeker, eraan toevoegend dat er op dit moment geen plannen zijn om dit te doen.

Beveiligingsbedrijven werken soms met domeinproviders om C & C-domeinnamen aan te wijzen die door aanvallers worden gebruikt voor IP-adressen die ze beheren. Dit proces staat bekend als "sinkholing" en wordt gebruikt om te bepalen hoeveel computers zijn geïnfecteerd met een bepaalde bedreiging en welke informatie die computers naar de controleservers terugsturen.

"We hebben contact opgenomen met en werken met de CERTs [computer emergency response teams] voor de getroffen staten en we zullen zien of er inderdaad schade is aangericht, "zei Macalintal. "We volgen de campagne nog steeds actief vanaf nu en zullen updates dienovereenkomstig posten."