Firebird Backdoor
קבוצת האיומים שזוהתה כ-DoNot Team נקשרה לפריסה של דלת אחורית חדשנית מבוססת NET המכונה Firebird. הדלת האחורית הזו נוצלה כדי למקד למספר קטן של קורבנות שנמצאים בפקיסטן ובאפגניסטן.
חוקרי אבטחת סייבר זיהו שהתקפות אלו נועדו לפרוס הורדה בשם CSVtyrei, שם שנגזר מהדמיון שלו ל-Vtyrei. Vtyrei, הידוע גם בשם BREEZESUGAR, מציין גרסה ראשונית של מטען ורישום הורדה ששימשה בעבר את היריב כדי להפיץ מסגרת זדונית בשם RTY.
תוכן העניינים
DoNot Team הוא שחקן פעיל באיום בפשעי סייבר
DoNot Team, הידועה גם בשם APT-C-35, Origami Elephant ו-SECTOR02, היא קבוצה מתקדמת מתמשכת (APT) שלדעתה יש קשרים עם ממשלת הודו. קבוצה זו פעילה לפחות משנת 2016, וקיימת אפשרות שהקמתה קודמת לתקופה זו.
נראה שהמטרה העיקרית של DoNot Team היא ריגול לתמיכה באינטרסים של ממשלת הודו. חוקרי אבטחת סייבר צפו בקמפיינים מרובים שבוצעו על ידי קבוצה זו מתוך מחשבה על מטרה ספציפית זו.
בעוד שהמתקפה הידועה הראשונית של DoNot Team כוונה לחברת טלקומוניקציה בנורבגיה, המיקוד שלה סובב בעיקר סביב ריגול בדרום אסיה. תחום העניין העיקרי שלהם הוא אזור קשמיר, לאור הסכסוך המתמשך בקשמיר. הסכסוך הזה נמשך זמן רב, כאשר גם הודו וגם פקיסטן טוענות לריבונות על האזור כולו, למרות שכל אחת מהן שולטת רק בחלק. מאמצים דיפלומטיים להגיע לפתרון מתמשך בסוגיה זו הוכחו עד כה כלא צלחו.
DoNot Team מכוון בעיקר לגופים הקשורים לממשלות, משרדי חוץ, ארגונים צבאיים ושגרירויות בפעילותו.
Firebird Backdoor הוא כלי מאיים חדש שנפרס על ידי צוות DoNot
בדיקה מקיפה גילתה נוכחות של דלת אחורית חדשה מבוססת NET המכונה Firebird. דלת אחורית זו מורכבת ממטען ראשי וממינימום שלושה תוספים. יש לציין שכל הדגימות המנותחות הציגו הגנה חזקה באמצעות ConfuserEx, מה שהוביל לשיעור זיהוי נמוך במיוחד. בנוסף, חלקים מסוימים של הקוד בתוך הדוגמאות נראו לא מבצעיים, מה שמצביע על פעילות פיתוח מתמשכת.
אזור דרום אסיה הוא חממה לפעילויות פשעי סייבר
נצפו פעילויות זדוניות הקשורות לשבט השקוף בפקיסטן, הידוע גם בשם APT36, המכוונות למגזרים בממשלת הודו. הם השתמשו בארסנל תוכנות זדוניות מעודכן, הכולל סוס טרויאני של Windows שלא תועד בעבר בשם ElizaRAT.
Transparent Tribe, הפועלת מאז 2013, עוסקת בקצירת אישורים והתקפות הפצת תוכנות זדוניות. לעתים קרובות הם מפיצים מתקינים טרויאניים של אפליקציות ממשלתיות הודיות כמו אימות רב-גורמי Kavach. בנוסף, הם מינפו מסגרות פיקוד ושליטה בקוד פתוח (C2), כמו Mythic.
יש לציין, Transparent Tribe הרחיבה את המיקוד שלה למערכות לינוקס. חוקרים זיהו מספר מצומצם של קבצי כניסה לשולחן העבודה המאפשרים את הביצוע של קבצים בינאריים מבוססי Python, כולל GLOBSHELL לחילוף קבצים ו-PYSHELLFOX לחילוץ נתוני הפעלה מדפדפן Mozilla Firefox. מערכות הפעלה מבוססות לינוקס נפוצות במגזר הממשלתי ההודי.
בנוסף ל-DoNot Team והשבט השקוף, צץ שחקן נוסף במדינת לאום מאזור אסיה-פסיפיק עם עניין מיוחד בפקיסטן. השחקן הזה, המכונה פיל מסתורי או APT-K-47, נקשר לקמפיין דיוג בחנית. מסע פרסום זה פורס דלת אחורית חדשה בשם ORPCBackdoor, שיש לה את היכולת לבצע קבצים ופקודות במחשב של הקורבן ולתקשר עם שרת זדוני כדי לשלוח או לקבל קבצים ופקודות.
