Noll
Hackare som arbetar på uppdrag av den Syriska regeringen är inriktade på politiska motståndare med övervakning skadlig kod som distribueras i trojanised versioner av messaging program, inklusive WhatsApp och Telegram.
Den Syriska Elektroniska Armén grupp hackare som fungerar i stöd av Syriens President Bashar Al-Assad och riktar sig till grupper och individer som motsätter sig hans regim. Koncernen har också en historia av att hacka in och defacing hemsidor-bland annat av den AMERIKANSKA armén — och sociala medier-konton, de mest uppmärksammade som såg den Twitter-konto av Associated Press äventyras.
Sådan är ryktbarhet i HAVET som OSS ut tre Syriska medborgare med att vara medlemmar i gruppen i och med 2016, med två extra FBI: s Most Wanted-Lista.
Under de senaste åren har koncernen till synes höll en låg profil, men HAVET har inte upphört med sin verksamhet: det är ändrat taktik och är nu leverera anpassade Android-malware motståndare Assads regim för tillämpningen av övervakning.
Dubbade SilverHawk av forskare vid säkerhetsföretaget Lookout, de detaljerade resultaten på Black Hat Europe-konferensen i London. Malware är tänkt att har varit i drift sedan mitten av 2016 och är i stånd att i hemlighet spela in ljud, att ta bilder, ladda ner filer, kontakter för övervakning, spårning plats och mer.
“Kan du föreställa dig konsekvenserna av politiska dissidenter som kan vara känsliga möten och fienden skulle älska att få veta vad de talar om — om deras telefon är smittade, de kan bara distans starta inspelning av ljud,” sade Kristen Del Rosso, security intelligence ingenjör på Jakt.
SE: Cyberkrig prognoser för 2019: insatserna har höjts
Google Android-malware är inte stor spridning, vilket tyder på att HAVET är att använda det sparsamt i mycket riktade kampanjer. Den viktigaste metoden för att leverera SilverHawk är genom att lura offer till nedladdning av skadlig versioner av meddelanden från appar vattenhål webbplatser eller social ingenjörskonst via phishing e-post.
“Vanligtvis kommer du att se detta utplacerade inne trojanised secure messaging program, en säker anslutning ansökningar och så var fallet här,” sade Michael Flossman, chef för hot intelligens på Jakt. “Hotet aktörer bakom detta verkligen för trojanising uppdateringar WhatsApp, Telegram samt ett system paketet update.”
För att hjälpa till att förbli oupptäckt, skadlig app inte placera en ikon på startskärmen. SilverHawk har också byggts för att undvika de snabba batteriet laddas ur vilket kan vara en kontrollampa tecken på att en skadlig app har installerats. Skaparna av skadlig kod har byggt en överlevnad räknare som ger det två försök att koppla tillbaka till sin ledning och styrning av servrar.
“Vad som händer är att varje gång det finns en koppling till ledning och styrning av servrar som är framgångsrikt, det återställs till två, sedan varje gång en anslutning inte är gjord eller C2-server är nere droppar det ner en,” Rosso Del förklaras.
“När enheten startas om, men räknaren är tillbaka till 2, så att den övervakning-ware för att försöka fortsätta sin spioneri förmågor”, tillade hon. Det förhindrar också upprepade försök till anslutning från tömma batteriet och att väcka misstanke om att något är fel.
Analys av Jakt tyder på att SilverHawk har varit framgångsrika i att utföra sina uppgifter och återstående smygande som malware har sällan behövde omarbetas för att undvika upptäckt av säkerhetslösningar, och när förändringar har gjorts, de är relativt små.
SE: Kan ryska hackare stoppas? Här är varför det kan ta 20 år (TechRepublic cover story) | ladda ner PDF-versionen
Medan SilverHawk bara är inriktad på Googles Android mobila enheter på Syriens “Elektroniska Armé” är också känd för att rikta dissidenter som använder Windows malware med leverans normalt via nätfiske e-postmeddelanden som innehåller bifogade filer som har samband med militär verksamhet i regionen. Vanliga former av skadlig kod som används i dessa kampanjer har NjRAT, H-Mask Plus och DarkComet.
I fall av både Android och Windows kampanjer användning av öppna kataloger och dålig driftsäkerhet av angriparna har aktiverat Jakt attribut attacker mot HAVET.
“Det finns inget som tyder på att de använder detta verktyg eller tillhörande infrastruktur som vi har identifierat i riktade attacker mot västerländska intressen vid denna tid,” Flossman berättade ZDNet.
Han har dock råd för vem som helst som kan bli ombedd att installera en version av en meddelandetjänst som ber om total kontroll av telefonen i utbyte för att installera appen.
“Du bör nog inte falla för vad de säger när de ber om administratören tillgång som ska ge dem att kompromissa med kontroll över enheten,” sade han.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Hackare använder den här Android-malware för att spionera på Israeliska soldaterHur en Facebook-sida som skickas ett Syriska dissenter till fängelse CNETIt-säkerhet: Hackare steg ut ur skuggorna med större, djärvare attacker framtida cyberkrig: Weaponised ransomware, IoT attacker och en ny kapprustning TechRepublicFör lite, för sent? Ska vi vara snabbare med att peka finger skylla på cyber angripare?
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0