تستهدف حملة التجسس الإلكتروني أكثر من 100 دولة

وجد باحثون في Trend Micro أن عملية تجسس إلكترونية مستمرة ، أطلق عليها اسم Safe ، استهدفت العديد من المنظمات في أكثر من 100 دولة مع رسائل البريد الإلكتروني للتصيد العشوائي.

يبدو أن العملية استهدفت الوكالات الحكومية ، وشركات التكنولوجيا ، والمنافذ الإعلامية ، ومؤسسات البحث الأكاديمي ، والمنظمات غير الحكومية ، وكيلي ويلهويت ونارت فيلنوف ، باحثان في مجلة تريند مايكرو للتهديدات الأمنية ، كتبوا على مدونة الأمن الاستخباراتي. تعتقد Trend Micro أن أكثر من 12000 عنوان IP فريد موزعة على 120 دولة أو أكثر مصابة بالبرمجيات الضارة. ومع ذلك ، هناك 71 عنوان IP فقط ، في المتوسط ​​، يتم التواصل بنشاط مع خوادم C&C يوميًا.

وقال تريند مايكرو في مقالته البيضاء "العدد الفعلي للضحايا أقل بكثير من عدد عناوين IP الفريدة" لكنه رفض التكهن بشأن الرقم الفعلي.

آمنة تعتمد على التصيد الرمح

يتكون الآمن من حملتين متميزتين للتصيد باستخدام الرمح باستخدام نفس سلالة البرامج الضارة ، ولكن باستخدام بنى تحتية مختلفة للتحكم والقيادة ، كما كتب الباحثون في الورقة البيضاء. كانت إحدى رسائل البريد الإلكتروني الخاصة بالخداع الرمح في إحدى الحملات تحتوي على خطوط موضحة تشير إلى التبت أو منغوليا. لم يحدد الباحثون بعد موضوعًا مشتركًا في المواضيع المستخدمة للحملة الثانية ، والتي أودت بحياة ضحايا في الهند والولايات المتحدة وباكستان والصين والفلبين وروسيا والبرازيل.

أرسل Safe رسائل بريد إلكتروني تصيّد رمح للضحايا وخدعتهم لفتح مرفق ضار استغل ثغرة أمنية في Microsoft Office مصححة بالفعل ، وفقًا لـ Trend Micro. وجد الباحثون العديد من مستندات Word الضارة التي ، عند فتحها ، ركبت بصمت حمولة على كمبيوتر الضحية. تم تصحيح ثغرة أمنية لتنفيذ التعليمات البرمجية عن بُعد في عناصر التحكم العامة لـ Windows في أبريل 2012.

تفاصيل البنية التحتية C&C

في الحملة الأولى ، تم توصيل أجهزة كمبيوتر من 243 عنوان IP فريدًا في 11 دولة مختلفة بخادم C&C. في الحملة الثانية ، اتصلت أجهزة كمبيوتر من 11.563 عنوان IP من 116 دولة مختلفة بخادم C&C. يبدو أن الهند هي الأكثر استهدافًا ، حيث يوجد أكثر من 4000 عنوان IP مصاب.

تم إعداد أحد خوادم C&C حتى يتمكن أي شخص من عرض محتويات الأدلة. ونتيجة لذلك ، تمكن باحثو Trend Micro من تحديد هوية الضحايا ، وكذلك تنزيل الملفات التي تحتوي على الكود المصدري خلف خادم C&C والبرامج الضارة. عند النظر إلى رمز خادم C&C ، يبدو أن المشغلين يعيدون تحديد مصدر الكود الشرعي من مزود خدمات الإنترنت في الصين ، بحسب تريند مايكرو.

كان المهاجمون يتصلون بخادم C&C عبر VPN ويستخدمون شبكة Tor ، مما يجعل من الصعب تتبع أماكن وجود المهاجمين. وقال تريند مايكرو: "إن التنوع الجغرافي لخوادم البروكسي والشبكات الخاصة الافتراضية جعل من الصعب تحديد أصلها الحقيقي".

المهاجمون قد تستخدم البرمجيات الخبيثة الصينية

استنادًا إلى بعض الدلائل في الكود المصدري ، قال تريند مايكرو إنه من الممكن أن يتم تطوير البرامج الضارة في الصين. من غير المعروف في هذه المرحلة ما إذا كان مشغلو Safe قد طوروا البرامج الضارة أو اشتروها من شخص آخر.

وكتب الباحثون على المدونة "بينما يظل تحديد نية المهاجمين وهويتهم أمرًا صعبًا ، فقد قدرنا أن هذه الحملة مستهدفة وتستخدم برامج ضارة طورها مهندس برمجيات محترف قد يكون متصلاً بجرائم الإنترنت تحت الأرض في الصين".