Il malware Xtreme RAT si rivolge a Stati Uniti, Regno Unito e altri governi

Il gruppo di hacker che ha recentemente infettato i computer della polizia israeliana con il malware Xtreme RAT ha preso di mira anche le istituzioni governative degli Stati Uniti, Regno Unito e altri paesi, secondo i ricercatori del fornitore di antivirus Trend Micro.

Gli aggressori hanno inviato messaggi non autorizzati con un allegato.RAR agli indirizzi e-mail all'interno delle agenzie governative designate. L'archivio conteneva un eseguibile dannoso mascherato da un documento Word che, una volta eseguito, installava il malware Xtreme RAT e apriva un documento falso con un rapporto su un attacco missilistico palestinese.

L'attacco venne alla luce alla fine di ottobre quando la polizia israeliana ha spento la sua rete di computer per pulire il malware dai suoi sistemi. Come la maggior parte dei programmi di accesso remoto Trojan (RAT), Xtreme RAT offre agli aggressori il controllo sulla macchina infetta e consente loro di caricare documenti e altri file sui loro server.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Dopo aver analizzato i campioni di malware utilizzati nell'attacco della polizia israeliana, i ricercatori di sicurezza Norman, un produttore di antivirus norvegese, hanno scoperto una serie di attacchi precedenti di quest'anno e alla fine del 2011, mirati a organizzazioni in Israele e nei territori palestinesi. Le loro scoperte dipingono l'immagine di un'operazione di cyber-spiamento di un anno eseguita dallo stesso gruppo di aggressori nella regione.

Tuttavia, secondo i nuovi dati scoperti dai ricercatori di Trend Micro, l'ambito della campagna sembra essere molto più grande. > "Abbiamo scoperto due email inviate da {BLOCKED}[email protected] l'11 novembre e 8 novembre che si rivolgevano principalmente al governo di Israele", ha detto in un post del blog all'inizio di questa settimana il ricercatore di Trend Micro Senior Nart Villeneuve. "Una delle e-mail è stata inviata a 294 indirizzi e-mail."

"Mentre la maggior parte delle e-mail sono state inviate al governo di Israele presso" mfa.gov.il "[Ministero israeliano degli affari esteri]," idf. gov.il '[Israel Defence Forces] e' mod.gov.il '[Ministero della Difesa israeliano], una quantità significativa è stata inviata al governo degli Stati Uniti agli indirizzi email' state.gov '[US Department of State], "Ha detto Villeneuve. "Altri obiettivi del governo degli Stati Uniti includevano anche gli indirizzi di posta elettronica" senate.gov "[Senato degli Stati Uniti] e" house.gov "[US House of Representatives]. L'e-mail è stata inviata anche a" usaid.gov "[US Agency for International Development] email indirizzi. "

L'elenco degli obiettivi includeva anche gli indirizzi e-mail" fco.gov.uk "(Ufficio britannico per gli affari esteri e Commonwealth) e" mfa.gov.tr ​​"(Ministero turco degli affari esteri) e gli indirizzi dei governi istituzioni in Slovenia, Macedonia, Nuova Zelanda e Lettonia, ha detto il ricercatore. Sono state prese di mira anche alcune organizzazioni non governative come la BBC e l'Ufficio del rappresentante del Quartetto.

Motivazioni poco chiare

I ricercatori di Trend Micro hanno utilizzato i metadati dei documenti per richiamare alcuni dei loro autori in un forum online. Uno di questi ha usato l'alias "aert" per parlare di varie applicazioni malware tra cui DarkComet e Xtreme RAT o per scambiare beni e servizi con altri membri del forum, ha detto Villeneuve.

Tuttavia, le motivazioni degli aggressori rimangono poco chiare. Se, dopo il rapporto di Norman, si sarebbe potuto ipotizzare che gli aggressori avessero un'agenda politica legata a Israele e ai territori palestinesi, dopo le ultime scoperte di Trend Micro.

"Le loro motivazioni non sono chiare a questo punto dopo aver scoperto questo ultimo sviluppo di targeting per altre organizzazioni statali", ha detto Ivan Macalintal, ricercatore senior e evangelista della sicurezza di Trend Micro, venerdì via e-mail.

Trend Micro non ha preso il controllo di alcun server di comando e controllo (C & C) utilizzato dagli aggressori per determinare quali dati vengono rubati ai computer infetti, ha detto il ricercatore, aggiungendo che non ci sono piani per farlo in questo momento.

Le società di sicurezza a volte lavorano con i provider di domini per indirizzare i nomi di domini C & C usati dagli aggressori verso gli indirizzi IP sotto il loro controllo. Questo processo è noto come "sinkholing" e viene utilizzato per determinare quanti computer sono stati infettati da una particolare minaccia e che tipo di informazioni quei computer stanno inviando ai server di controllo.

"Abbiamo contattato e stiamo lavorando con CERT [squadre di risposta alle emergenze dei computer] per gli stati interessati e vedremo se ci sono stati effettivamente dei danni ", ha detto Macalintal. "Stiamo ancora monitorando attivamente la campagna fin da ora e pubblicheremo gli aggiornamenti di conseguenza."