FireEye近日发布报告称,黑客入侵了叙利亚反对派的计算机网络,窃取了7.7GB的秘密通讯内容和军事计划。
背景
2013年6月份,10个反叙利亚政府的武装组织正在计划着一次反政府武装运动。他们精心部署军事计划,其作战指挥图片全部以电子图片的形式存储。
如下图所示,图中标明了预备役战士的地理位置、集结待命区、保障人员、现场操作区和后续军队供应路线。
欺骗的艺术:假扮美女网聊
攻击者事先瞄准了几个位于叙利亚的反政府组织,包括武装反动人员、人道主义救援人员、媒体等,然后将Skype(一款流行网络电话软件)设置为一位美女头像,与目标人员进行聊天。
“她”通常会问受害者使用的是否是安卓版(或者PC)的Skype,然后再发送精心设计的恶意程序。受荷尔蒙影响,受害者大多会向攻击者索要真实的照片——于是攻击者会发送给受害者.pif后缀的自解压文件。
当受害者打开图片时,不仅会显示一张女性的照片,还会在后台自动的安装恶意后门程序DarkComet RAT。当下的DarkComet RAT提升了隐藏技术,以躲避安全软件的追踪。
除此之外,攻击者还创建了钓鱼网站和Facebook页面,伪装成反政府武装人员,这些网站和页面上都包含有恶意链接。
科普:什么是DarkComet RAT?
DarkComet RAT是国外的一款远程控制软件,它完全免费,功能包含键盘记录、视频监控、系统控制等等,之前在国内应该不少安全爱好者在使用了,本次DarkComet RAT发布了最终版本(5.3.1),并且修复了一系列BUG,以及新增了一些功能。5.3.1版本相对比较稳定。点我查看更多内容
攻击分析
攻击者使用的是多个恶意程序的组合,具有一些比较常见的恶意代码,如之前FireEye披露的DarkComet RAT(键盘记录器和信息搜集工具)。通过一系列策略,攻击者成功窃取了反对派的数百份文档、近31107个Skype通话记录(一些攻击政府军队的计划讨论)、12356个联系人资料、240381条短信。
内容涵盖:
军事信息 政治信息 人道主义活动和资金 难民个人信息 媒体和通讯
在已经发现的文件中,包含了带注释的卫星图片,Skype聊天记录,武器登记记录和反对派成员的个人信息。
攻击者选择攻击受害者的安卓设备是一个很明智的选择。智能手机是当下最通用的社交工具,攻破手机即可获得大量的数据(包括短信、通话记录、联系人、邮件等)。
虽然感染的设备量有限,但是受感染的人却大多是武装组织里的组织者或军事专家,所以可想而知从他们身上搜集的资料价值肯定很大,这些情报在战争中的重要性不言而喻。
谁是真凶?
研究人员目前无法证实这一切的幕后操纵者是谁。但是,从聊天的内容来看,研究人员猜测应该与黎巴嫩有关,因为攻击者在聊天时一直在说自己在黎巴嫩。
这到底在暗示着什么?请关注后续报道。
参考来源:http://securityaffairs.co/wordpress/33023/cyber-crime/syrian-oppositions-hacked.html
