Простият зловреден софтуер и простият TTPs играят на фона на сложен геополитически конфликт в арабския свят.
Хакерски колектив, който може да е свързан с бунтовниците хути в Йемен, шпионира военни цели в Близкия изток вече половин десетилетие.
Тяхното оръжие е персонализиран софтуер за наблюдение за Android, наречен „GuardZoo“. Изглежда, че GuardZoo е използван за кражба на потенциално ценна разузнавателна информация, свързана с военните врагове на извършителя, включително официални документи, снимки и данни, свързани с местоположението и движението на войските.
Атаките на GuardZoo започват със зловредни връзки, разпространявани в WhatsApp и WhatsApp Business.
Връзките водят до фалшиви приложения, хоствани извън магазина на Google Play. Някои от тях се отнасят до общи теми – като „Свещеният Коран“ и „Намерете телефона си“, но повечето са с военна насоченост – „Изкуството на войната“, „Конституция на въоръжените сили“ и такива, свързани с конкретни организации като Йеменските въоръжени сили и Командно-щабния колеж на Саудитските въоръжени сили.
Всички тези различни приложения доставят зловредния софтуер GuardZoo.
Фалшиви приложения на GuardZoo; Източник: Lookout
GuardZoo по същество е изтеклият „Dendroid RAT“, от който са премахнати част от тлъстините и е снабден с десетки команди, отговарящи на шпионските нужди на собственика му. Това може отчасти да обясни защо кампанията, която датира от октомври 2019 г., едва сега излиза наяве. „Ако някой използва същия инструментариум като много други хакери, тогава той може да мине [под радара] просто защото не изпъква“, обяснява Кристоф Хебайзен, директор на Lookout за изследване на разузнаването в областта на сигурността.
При заразяване първите действия на GuardZoo винаги включват деактивиране на локалното регистриране и ексфилтриране на всички файлове на жертвата през последните седем години, които отговарят на файловите разширения KMZ, WPT (waypoint), RTE (route) и TRK (track). Забележително е, че всички тези разширения са свързани с приложения за GPS и картографиране.
Зловредният софтуер може също така да улесни изтеглянето на допълнителен зловреден софтуер, да прочете информация за машината на жертвата – като нейния модел, доставчик на мобилни услуги и скорост на връзката – и др.
За Хебайзен: „Едно нещо, което силно ни показва, че става въпрос за военни цели, [е] твърдо кодираните файлови разширения, които са много свързани с картографирането. Това насочване за мен показва – като се има предвид, че те са въвлечени във военен конфликт – че вероятно търсят тактическа информация от врага.“
По-голямата част от 450-те засегнати IP адреса, наблюдавани от Lookout, са концентрирани в Йемен, въпреки че обхващат и Саудитска Арабия, Египет, Обединените арабски емирства, Турция, Катар и Оман.
Връзката с хутите се засилва по-специално от местоположението на сървъра за командване и контрол (C2) на зловредния софтуер. „Той използва динамични IP адреси, но с доставчик на телекомуникационни услуги, който оперира в контролирана от хутите зона. Това е физически сървър – получихме серийния му номер и действително можем да го проследим – а вероятно не бихте искали да поставите физически сървър на вражеска територия“, разсъждава Хебайзен.
В сравнение със значимостта на целите, защитата срещу тази кампания е доста проста. В съобщение за пресата Lookout подчертава необходимостта потребителите на Android да избягват приложения, хоствани извън Google Play, винаги да актуализират приложенията си и да внимават за излишни разрешения.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.