חוקרים מישראל איתרו רוגלה איראנית שעוקבת אחר מתנגדי שלטון

חוקרים ישראלים איתרו באחרונה נוזקה חדשה, מסוג RAT (ר"ת Remote Administration Tool), שנועדה לתקוף מתכנתים איראניים בלי ידיעתם – ולעקוב אחרי פעילותם ברשת. השערת החוקרים, מחברת הסייבר סייפבריצ', היא שגורמים במשטר האיסלמי עומדים מאחורי פיתוח והפעלת הרוגלה, והם משתמשים בה כדי לנטר פעילות חריגה של אזרחים מתנגדי משטר.

הרוגלה שנחשפה, CodeRat (המילה קוד בתוספת משחק מילים עם סוג הנוזקה והמילה עכברוש) פועלת באמצעות ניצול באג באבטחת קבצי Office של מיקרוסופט. היא כוללת, בין היתר, כ-50 פקודות השתלטות מרחוק על מחשב הקורבן, מעקב אחרי המייל בכל סוגי התיבות, כגון ג'ימייל, אאוטלוק, יאהו ופרוטונמייל, יכולת גניבה של קבצי ומסמכי Office, וכן ניטור ומעקב אחר פעילות הקורבן ברשתות חברתיות כמו פייסבוק, ווטסאפ, אינסטגרם וטלגרם, משחקי רשת ואתרי תוכן למבוגרים.

עוד גילו החוקרים שהרוגלה מנטרת באופן קבוע שני חלונות דפדפן שייחודיים לקורבנות איראניים: אתר הקניות האיראני Digikala, שיש לו יותר מ-30 מיליון משתמשים בחודש, ותוכנת המסנג'ר בשפה הפרסית Eitaa.

"המטרה: מעקב וניטור פעילות ברשתות חברתיות ובאתרים מקומיים"

לדברי החוקרים, "לאחר תקיפה והשתלטות על מחשב הקורבן, המטרה העיקרית של CodeRAT היא לעקוב ולנטר את פעילותו ברשתות חברתיות ובאתרים מקומיים. זאת, ככל הנראה למטרות מעקב ובקרה מצד גורמי משטר איראניים".

לפי סייפבריצ', "הסיבה שאנחנו סבורים שמפתחים איראניים הם היעדים העיקריים לתקיפה היא מכיוון שהרוגלה הספציפית הזו מנטרת גם תוכנות פיתוח קוד כגון ויז'ואל סטודיו, פיית'ון PhpStorm ו-ורילוג. זוהי בחירה יוצאת דופן, שאנחנו לא רואים לעתים קרובות בעולם של תוכנות הריגול, ולכן היא מרמזת מאוד שהמטרות לתקיפה הם מפתחי התוכנה עצמם".

חברי צוות המחקר הישראלי הצליחו לאתר את ההאקר שפיתח את הנוזקה והתעמתו אתו. הם התחקו אחר צעדיו של המפתח, האקר בשם Mr Moded, וגילו שהוא פרסם את קוד המקור בחשבון הגיטהאב שלו. כך הם גילו שהוא אכן המפתח שעומד מאחורי פיתוח הקוד העוין. בחלוף כמה ימים, Mr Moded הסיר את קוד המקור של CodeRAT וסגר את חשבון הגיטהאב שלו.