נחשפה רוגלה שפגעה ביותר מאלף מטרות כורדיות

נחשף קמפיין ריגול ממוקד נגד מטרות כורדיות. הקמפיין, אותו חשפו חוקרי ESET, פעיל מאז מרץ 2020 לפחות, והוא הופץ באמצעות פרופילים ייעודים למטרה הזו בפייסבוק.

על פי חוקרי חברת אבטחת המידע, במסגרת קמפיין הריגול הממוקד, שהופעל כנגד מטרות כורדיות, הופצו שתי דלתות אחוריות לאנדרואיד – RAT888 ו-SpyNote.

לפי החוקרים, שני הפרופילים המזויפים סיפקו חדשות בשפה הכורדית, העוסקות באנדרואיד ובחדשות לתומכי הכורדים. החוקרים זיהו שישה פרופילים של פייסבוק אשר מפיצים אפליקציות ריגול לאנדרואיד, וזאת, כחלק מהקמפיין הזה שערכה קבוצת ההאקרים.

הפרופילים שיתפו את אפליקציות הריגול באמצעות קבוצות של תומכי מסעוד ברזאני, פוליטיקאי כורדי ובנו של מוסטפא ברזאני. הוא היה נשיא כורדיסטן העיראקית מ-2005 עד ל-2017. לקבוצות הפייסבוק הממוקדות יש יותר מ-11 אלף עוקבים.

כחלק מהקמפיין, זוהו 28 פוסטים ייחודיים בפייסבוק, כאשר כל אחד מהם הכיל תיאורי אפליקציות וקישורים מזויפים. מהם הצליחו חוקרי ESET להוריד 17 חבילות APK ייחודיות. חלק מקישורי ה-APK הצביעו ישירות על האפליקציה הזדונית, ואילו האחרים הצביעו על שירות ההעלאות של צד שלישי top4top.io – שעוקב אחר מספר הורדות קבצים. אפליקציות הריגול הורדו 1,418 פעמים.

זוהו פרופילים בפייסבוק, אשר מפיצים אפליקציות ריגול לאנדרואיד. צילום אילוסטרציה: BigStock

רוב הפוסטים הזדוניים בפייסבוק הובילו להורדת 888 RAT 

החוקרים ציינו כי רוב הפוסטים הזדוניים בפייסבוק הובילו להורדת 888 RAT, שזמין בשוק השחור מאז 2018. האנדרואיד 888 RAT מסוגל לבצע 42 פקודות שהתקבלו משרת הפיקוד והבקרה (C&C) שלו. הוא יכול לגנוב ולמחוק קבצים מהמכשיר, לצלם צילומי מסך, לקבל מיקום של המכשיר, לדוג מידע מחשבון הפייסבוק ולקבל רשימת אפליקציות מותקנות, לבצע שיחות, לגנוב את רשימת אנשי הקשר של המכשיר ולשלוח מסרונים.

המיעוט האתני הכורדי מצוי בטורקיה, איראן, עיראק וסוריה. הלוחמים הכורדים פעלו במאבק נגד ארגון המדינה האיסלאמית (דאעש) עוד משנת 2014, והתייצבו עם כוחות ארה"ב, תוך שהם נאבקים גם בממשלה הטורקית. החוקרים לא ציינו את הלאום של ההאקרים, או את מיקומם. בפברואר השנה פרסמו חוקרי צ'ק פוינט כי האקרים איראנים עשו שימוש ברוגלות ניידות כדי ליירט מטרות כורדיות.

החוקרים שייכו את פעילות הפריצה לקבוצה בשם BladeHawk. חוקרי QiAnXin, חברת הגנת סייבר סינית, פרסמו פרטים אודות הקבוצה בדצמבר 2020. אז הם חשפו שורה של מתקפות רציפות שכוונו נגד כמה קבוצות – טורקיות, כורדיות וחברי ארגוני טרור. חברת הגנת הסייבר הסינית ציינה בלאקוניות כי "מקורה של קבוצת BladeHawk הוא במדינה מסוימת במזרח התיכון".