משתמשים בג'ימייל? גם אתם יעד להאקרים

ג'ימייל | צילום: פיקסביי

בהמשך למתקפת הסייבר שבה הרחבנו אודות ה-150,000 אתרי אינטרנט שנפרצו בשבוע שעבר, מתברר כי רוב האנשים אשר מתמשים בשורתי הג'ימייל של גוגל חשופים גם הם לתקיפות.

חוקרי חברת אבטחת המידעESET  חשפו כי גרסה חדשה לאחת ממשפחות הנוזקות הוותיקות המנוהלות על ידי קבוצת התקיפה טורלה, הדלת האחורית ComRAT. טורלה, הידועה גם בשם Snake, היא קבוצת ריגול סייבר ידועה לשמצה הפועלת למעלה מעשור.

התכונה המעניינת ביותר של הגרסה העדכנית של הדלת האחורית היא השימוש שלה בממשק המשתמש של Gmail לקבלת פקודות ולסינון נתונים. ComRAT גונבת מסמכים רגישים, ומאז 2017 היא תקפה לפחות שלושה מוסדות ממשלתיים. ESET מצאה אינדיקציות לכך שהגרסה האחרונה של ComRAT הייתה עדיין בשימוש בתחילת 2020, מה שמראה שקבוצת טורלה עדיין פעילה מאוד ומהווה איום גדול עבור דיפלומטים וצבאות.

השימוש העיקרי ב-ComRAT הוא גניבת מסמכים מסווגים. באחד המקרים, מפעיליה אף החדירו קובץ הרצה שנכתב בשפת התכנות .NET אשר יצר אינטראקציה עם מסד הנתונים של שרת ה-SQL המרכזי של הקורבן המכיל את מסמכי הארגון. מפעילי התוכנה הזדונית השתמשו בשירותי ענן ציבוריים כמו OneDrive ו- 4shared כדי לגנוב מידע. הדלת האחורית העדכנית של טורלה יכולה לבצע פעולות נוספות במחשבים נפגעים, דוגמת הפעלת תוכנות נוספות וגניבת קבצים.

העובדה שהתוקפים מנסים להתחמק מתוכנות אבטחה מדאיגה. "זה מעיד על רמת התחכום הגבוהה של הקבוצה ואת כוונתה להישאר באותם מחשבים זמן רב", מסביר מתיו פו, שחוקר את הקבוצה הידועה לשמצה מזה מספר שנים. "בנוסף, בזכות השימוש בממשק האינטרנט של Gmail, הגרסה האחרונה של משפחת התוכנות הזדוניות ComRAT, מסוגלת לעקוף כמה מנגנוני אבטחה משום שהיא אינה נשענת דומיין זדוני כלשהו אשר עלול להיחסם ע"י האנטי וירוס", אומר פו.

השדרוג לדלת האחורית התגלה לראשונה בשנת 2017. היא משתמשת בבסיס קוד חדש לחלוטין ומורכב בהרבה מקודמיו. השימוש האחרון בדלת האחורית שראו החוקרים בוצע בנובמבר של השנה שעברה.

"על סמך הקורבנות ודגימות התוכנות הזדוניות האחרות שנמצאו באותן מכונות פגועות, אנו מאמינים ש- ComRAT נמצא בשימוש אך ורק ע"י טורלה", אומר פו.

ComRAT, הידועה גם בשם Agent.BTZ, היא דלת אחורית זדונית שנחשפה לאחר השימוש בה בפריצה לרשת המחשבים של צבא ארה"ב בשנת 2008. הגרסה הראשונה של תוכנה זדונית זו, שוחררה ככל הנראה בשנת 2007, והציגה יכולות של נוזקות מסוג תולעת על ידי התפשטות באמצעות כוננים נשלפים