Tal Pavel

njRAT – נוזקה לפשיעה מקוונת במזרח התיכון

/ב , , /על ידי

חברת האבטחה סימנטק דיווחה ב-31 מרץ כי היא הבחינה בגידול בקבוצות תוקפים מקומיות במזרח התיכון המבססות פעילותן על נוזקה הידועה בשם njRAT המהווה אחד מהכלים המאפשרים גישה מרוחקת (RAT). אולם יחודו של כלי זה בכך שהוא פותח ונתמך על ידי דוברי ערבית (גרסה 0.64 של התוכנה הועלתה באתר אחד ב-24 ספטמבר 2013 ובשני ב-17 אוקטובר 2013). ביוטיוב קיימים סרטונים רבים בשפה הערבית המסבירים את השימוש בנוזקה זו (12345).

במרבית המקרים נעשה שימוש בתוכנה על מנת לשלוט ברשתות מחשבים לצרכים של פעילות פלילית, אולם לטענת סימנטק, קיימות עדויות לכך שמספר קבוצות עשו שימוש בנוזקה נגד ממשלות באזור.

החברה בחנה 721 דוגמאות של נוזקה זו וגילתה מספר רב של ההדבקות. זאת ב-542 שרתי פיקוד ושליטה (C&C) של שמות מתחם, כמו גם ב-24,000 מחשבים נגועים ברחבי העולם. כ-80% משרתי ה-C&C ממוקמים במזרח התיכון ובצפון אפריקה ובכלל זה; ערב הסעודית, עראק, תוניסיה, מצרים, אלג'יריה, מרוקו, הרשות הפלסטינית ולוב.

התגלה כי מרבית כתובות ה-IP של שרתים אלו מובילות לקווי ADSL, דבר המציין שיתכן ומרבית התוקפים עושים שימוש בנוזקה מבתיהם באזור המזרח התיכון. הדוח טוען כי הנוזקה זמינה משנת 2012 וכי קיימות לה שלוש גרסאות אשר את כולן ניתן להפיץ באמצעות התקני USB. עם זאת, מחקר שבוצע על תוכנה זו בתחילת דצמבר 2013 גורס כי קיימות לפחות ארבע גרסאות – 0.3.6, 0.4.1a, 0.5.0E, 0.6.4. פרסום זה מהווה המשך למחקר מעמיק על אודות הנוזקה אשר פרסמה חברת General Dynamics Fidelis Cybersecurity Solutions ב-28 יוני 2013.

מחקר זה מרחיב עוד על התוכנה;

  • זוהי נוזקה מסוג סוס טרויאני אשר פותחה ב-VB.net.
  • שם הקובץ Authorization.exe והוא נשלח בתוך קובץ scr.
  • התוכנה כוללת אפשרויות של Keylogger, גישה למצלמה, גניבת פרטי גישה המאוחסנים בדפדפן, העלאה והורדה של קבצים, צפיה בשולחן העבודה, ביצוע שינויים שונים במחשב הקורבן.
  • כתובת ה-IP בה נעשה שימוש בנוזקה (217.66.231.245) מצויה בטווח המשוייך ל-Palestinian Internet Services הממוקמת בעזה.
  • התוקפים מסווים את הנוזקה באמצעות שימוש בצלמיות שונות עבור הנוזקה, במקרים מסויימים באלו של MS Word ו-PDF.
  • הנוזקה תקפה גורמי ממשל, תקשורת ואנרגיה ברחבי המזרח התיכון.
  • הנוזקה מופצת באמצעות פעולות של דיוג, אך גם על גבי התקני USB נגועים.
  • הנוזקה מכווצת ומוסתרת באמצעות מספר כלים על מנת למנוע את גילויה על ידי תוכנות אבטחה.
  • משעה שהודבק מחשב המטרה, ביכולת הנוזקה לסרוק אחר מחשבים אחרים באותה הרשת ולמצוא פרצות, בין השאר באמצעות פרטי גישה אותם השיגה במחשב הקורבן. 

סימנטק ממשיכה ומגלה כי התוכנה זוכה לפופולריות רבה במזרח התיכון באמצעות קהילה גדולה המספקת תמיכה באמצעות הנחיות ומדריכים לפיתוח התוכנה. כמו כן, היא זיהתה 487 קבוצות אשר ביצעו התקפות באמצעות כלי זה.

לטענת החברה, התוכנה נכתבה על ידי תושב כווית בעל חשבון טוויטר njq8 אשר נפתח ככל הנראה בתחילת מאי 2013. בחשבון ניתן למצוא מידע על תיקונים בגרסאות השונות, כמו גם הודעה מ-11 דצמבר 2013 בדבר שחרור גרסה 0.7d. באחת מהודעותיו הוא חתם תחת השם "נאסר אלמטירי" (ناصر المطيري). בנוסף, בפורומים שונים בשפה הערבית מוזכר שמו בהקשר של תוכנה זו.