ESET: Η Συρία στόχος κακόβουλου λογισμικού - καρτούν

Η ομάδα κυβερνο-κατασκοπείας που κρύβεται πίσω από μια σειρά malware υποκλοπών - καρτούν, χτυπά ξανά. Μετά το Μπάνι και το Μπαμπάρ το Ελεφαντάκι, οι κυβερνοεγκληματίες ανέπτυξαν άλλο ένα κακόβουλο λογισμικό, τον Κάσπερ. Αυτό το εργαλείο, που εξυπηρετεί το πρώτο στάδιο της επίθεσης, την αναγνώριση, μπορεί να στείλει μία αναλυτική έκθεση για τη μολυσμένη συσκευή του θύματος σε αυτόν που το ελέγχει.

Ο Κάσπερ ανιχνεύθηκε πρώτη φορά τον Απρίλιο του 2014. «Είναι ενδιαφέρον ότι τα exploits “φιλοξενήθηκαν” σε δικτυακό τόπο που ανήκει στο υπουργείο Δικαιοσύνης της Συρίας, το jpic.gov.sy. Αυτή η ιστοσελίδα δημιουργήθηκε από την συριακή κυβέρνηση για να επιτρέψει στους πολίτες της Συρίας να υποβάλλουν καταγγελίες. Λειτουργεί ακόμα, αλλά έχει καθαριστεί. Παράλληλα, φιλοξενούνταν σε αυτή την ιστοσελίδα και ο κώδικας που ελέγχει τον Κάσπερ, ενώ είχαν αναπτυχθεί και plugins που εκτελούνταν στο μηχάνημα», εξηγεί ο Joan Calvet, ερευνητής malware της ESET.

Έχοντας παρατηρήσει και αναλύσει το κακόβουλο λογισμικό, οι ερευνητές της ESET μπόρεσαν να επιβεβαιώσουν ότι ο κωδικός ταιριάζει με αυτόν που χρησιμοποιείται στο Μπαμπάρ και στο Μπάνι. Αλλά ο Κάσπερ έχει προχωρήσει ένα βήμα παραπέρα, προσαρμόζοντας τη στρατηγική του ανάλογα με το ποιο antivirus χρησιμοποιεί το μηχάνημα-στόχος. Αυτός είναι ο λόγος για τον οποίο σχεδόν κανένα anti-virus ή λογισμικό διαδικτυακής ασφάλειας δεν έχει κατορθώσει να το εντοπίσει, εκτός από το ESET LiveGrid. 

Το κακόβουλο λογισμικό επιτίθεται κατευθείαν στους επισκέπτες της ιστοσελίδας του υπουργείου Δικαιοσύνης της Συρίας. «Αυτό το επίπεδο κοινής χρήσης κωδικών μας οδηγεί στο ασφαλές συμπέρασμα ότι ο Μπάνι, ο Μπαμπάρ και ο Κάσπερ έχουν όλοι αναπτυχθεί από την ίδια οργάνωση» προσθέτει ο Calvet.