ad1
טכנולוגיה

גוגל: האקרים שנשלחו על ידי השלטון האיראני פרצו לחשבונות ג'ימייל

קבוצת Charming Kitten מכה שוב: דיווח של קבוצת המחקר של גוגל מעלה כי ההאקרים האיראנים, שלוחי המשטר בטהרן, פיתחו כלי חדש ובאמצעותו פרצו ל-"מספר קטן" של חשבונות ג'ימייל, שירות הדואר של החברה. על פי גוגל, מדובר בחשבונות של איראנים, וההאקרים פרצו אליהם למטרות ריגול.

בדיווח שפרסמו אתמול (ג') ציינו חוקרי החברה שאותם חתלתולים "מקסימים" – שאינם מקסימים כלל – פרצו באמצעות הכלי החדש, שמכונה HYPERSCRAPE, ל-"פחות משני תריסר" חשבונות ג'ימייל באיראן וגנבו מהם מידע. כמו כן, לדבריהם, הכלי שימש לגניבת מידע מחשבונות אאוטלוק ודואר יאהו.

על פי החוקר אלכס באש מקבוצת המחקר של גוגל, שכתב את הסקירה, הפעילות הראשונה של HYPERSCRAPE שהחוקרים איתרו היא מדצמבר אשתקד, אם כי חקירה מעמיקה יותר שלהם מצאה שהקבוצה האיראנית השתמשה בכלי הזה גם לפני כן.

איך זה עובד?

לא מדובר בכלי מתוחכם במיוחד, אבל הוא בהחלט אפקטיבי. כך הוא עובד:

החוקרים מצאו שההאקרים פרצו לפרטי החשבונות של המשתמשים באמצעות AGENTS מזויפים, או כאלה שהם רכשו. הכלי משתמש בטכניקות של זיוף, על מנת להיראות כגרסה מיושנת ולא מעודכנת של הדפדפן, כך שחשבון הג'ימייל מוצג בתצוגת HTML. אחרי שהוא מצליח לחדור לחשבון, HYPERSCRAPE משנה את הגדרת השפה בחשבון לאנגלית, מוריד הודעות כקבצי eml. ומסמן אותן כלא נקראו. אחרי שהכלי מסיים להוריד את כל ההודעות שיש בחשבון לשימושם של ההאקרים, הוא מחזיר את הגדרת השפה לשפה המקורית שהמשתמש בחר בה להצגת ההודעות, ומוחק כל אימייל שנשלח מטעם גוגל וכולל התרעת אבטחה. כלומר, הכלי מוחק עקבות, והקורבן לא יכול לדעת שחשבונו נפרץ. כשהכלי "רץ", הוא מתקשר עם שרת שמאפשר לתת פקודות ולשלוט (C2), כדי לקבל אישור להתחיל בתהליך ההסתננות.

HYPERSCRAPE נכתב בדוט.נט והוא מיועד למחשבי Windows. החוקרים ציינו כי הם בחנו אותו בסביבה נשלטת, עם חשבון ג'ימייל שנוצר לשם הבדיקה. עם זאת, לדבריהם, ייתכן שבחשבונות מיקרוסופט ויאהו, ההשפעה של הכלי היא אחרת. בכל מקרה, נכתב, הפעולה של הכלי תלויה בקיומה של ספריה ובה קבצים נוספים.

לדברי באש, גרסאות מסוימות של הכלי אפשרו להוריד את כל המידע של בעל החשבון באמצעות Google Takeout – פיצ'ר שמאפשר למשתמש להעביר הודעות ג'ימייל לארכוב ברשת.

בגוגל מעודדים משתמשים בסיכון גבוה להצטרף ל-"תוכנית ההגנה המתקדמת" (APP) של החברה ולהשתמש בכלי הגלישה הבטוחה שלה.

הפעילות הבולטת האחרונה של קבוצת Charming Kitten אותרה בדצמבר האחרון על ידי מיקרוסופט, שזיהתה שחבריה ניצלו את החולשה המפורסמת Logs4j, שתקפה ארגונים רבים, ובכלל זה גופי ממשל בארצות הברית וארגונים ישראליים.

חשבונות ג'ימייל של משתמשים - עוד מטרה של ההאקרים האיראנים.

הפוסט גוגל: האקרים שנשלחו על ידי השלטון האיראני פרצו לחשבונות ג'ימייל הופיע ראשון באנשים ומחשבים – פורטל חדשות היי-טק, מיחשוב, טלקום, טכנולוגיות

מאמרים דומים

Back to top button