קבוצת התקיפה הממוקדת כנגד עיתונאים ומטרות פוליטיות

תקיפה ממוקדת כנגד עיתונאים ומטרות פוליטיות במזרח התיכון על ידי קבוצת התקיפה Stealth Falcon. חוקרים גילו "דלת אחורית" בעלת תכונות מעניינות הקשורה לנוזקה אשר בשימוש הקבוצה הידועה.

קבוצת Stealth Falcon פעילה כבר משנת 2012 וידועה כתוקפת אקטיביסטים פוליטיים ועיתונאים במזרח התיכון. ישנם אנליסטים אשר מקשרים את הקבוצה לפרויקט רייבן, יוזמה המעסיקה לכאורה פעילי NSA לשעבר.

מידע שנחשף אודות הקבוצה כולל ניתוח של החלק העיקרי בתוכנה הזדונית, דלת אחורית מבוססת PowerShell אשר מופצת באמצעות קובץ נגוע אשר מצורף למייל זדוני.

החוקרים של חברת ESET גילו בימים האחרונים דלת אחורית חדשה שטרם דווחה בשם Win32/StealthFalcon וראו באמצעותה מספר תקיפות באיחוד האמירויות, ערב הסעודית, תאילנד והולנד. באחד המקרים אף מדובר בתקיפה של דיפלומט ממדינה במזרח התיכון.

נמצא כי ישנם קווי דמיון בין הדלת האחורית החדשה מבוססת ה-PowerShell, לבין הדלת האחורית שזוהתה בעבר עם הקבוצה ולכן ניתן להניח כי מדובר בדלתות אחוריות אשר משרתות את אותה קבוצת התקיפה.

הדלת האחורית החדשה משתמשת בטכניקה ייחודית בכדי לתקשר עם שרת השליטה והבקרה: שירות של Windows שמיועד להעברת קבצים בשם Backround Intelligent Transfer Service (BITS).

העברת המידע באמצעות BITS היא קשה יותר לגילוי וניטור, ומרבית חומות האש יאפשרו את התקשורות הנ"ל ללא חסימה או התראה.

בנוסף לתקשורת הבלתי שגרתית עם שרת השליטה והבקרה, הדלת האחורית משתמשת בטכניקות מתקדמות נוספות על מנת למנוע זיהוי שלה, לאפשר לה להישאר חבויה במערכות ולהקשות על תהליך הניתוח של הקוד שלה.

'בחדרי' גם ברשתות החברתיות - הצטרפו!