متابعات-ميكسي نيوز
Android…تم العثور على عائلتين جديدتين من مراقبة Android لاستهداف الكيانات العسكرية والنووية والانتخابات في باكستان وكشمير كجزء من حملة اختراق مؤيدة للهند.
إن البرامج الضارة ، التي يطلق عليها Hornbill و Sunbird ، تنتحل خدمات مشروعة أو غير ضارة على ما يبدو لتغطية مساراتها ، فقط لجمع الرسائل القصيرة بشكل خلسة ، ومحتوى تطبيق المراسلة المشفرة ، والتوضع الجغرافي ، من بين أنواع أخرى من المعلومات الحساسة.
النتائج التي نشرتها Lookout هي نتيجة لتحليل 18 جيجابايت من البيانات المعروضة التي تم تعرضها علنًا من ستة خوادم على الأقل من الأوامر والسيطرة (C2) التي تم تكوينها على الأقل في الهند.
“تضمنت بعض الأهداف البارزة فردًا تقدم بطلب للحصول على منصب في لجنة الطاقة الذرية الباكستانية ، والأفراد الذين لديهم اتصالات عديدة في سلاح الجو الباكستاني (PAF) ، وكذلك الضباط المسؤولون عن القوائم الانتخابية (مسؤولين على مستوى المقصورة) الواقعة في منطقة بولواما في كشمير” ، “الباحثون” قال في تحليل الأربعاء.
إجمالاً ، استهدفت الهجمات 156 ضحية بأرقام هواتف من الهند وباكستان وكازاخستان خلال السنوات القليلة الماضية.
نسبت Lookout الأداة إلى تهديد مستمر متقدم (APT) تم تتبعه ككونفوشيوس ، مجموعة معروف بهجماتها في بلدان جنوب آسيا على الأقل منذ عام 2013. وصفت شركة الأمن السيبراني Hornbill بأنها “أداة استطلاع سلبية”.
بينما يبدو أن Hornbill مشتق من نفس قاعدة الكود مثل منتج مراقبة تجاري نشط سابقًا يُعرف باسم Mobilespy ، فقد تم تتبع Sunbird إلى مجموعة من المطورين الهنود خلف برنامج آخر تتبع الهاتف المحمول الطنانة. تشير القرائن التي اكتشفتها The Lookout أيضًا إلى حقيقة أن مشغلي Hornbill يعملون معًا في مختلف شركات تطوير تطبيقات Android و iOS المسجلة والتشغيل في مدينة شانديغار الهندية أو بالقرب منها.
تم تجهيز كل من برامج التجسس لجمع مجموعة واسعة من البيانات ، مثل سجلات المكالمات ، وجهات الاتصال ، ومعلومات النظام ، والموقع ، والصور المخزنة على محركات الأقراص الخارجية ، وتسجيل الصوت والفيديو ، وقطات التقاط ، مع التركيز بشكل خاص على نهب رسائل WhatsApp والملاحظات الصوتية عن طريق إساءة استخدام واجهة برمجة التطبيقات للوصول إلى Android.
يختلف Sunbird أيضًا عن Hornbill حيث يتميز السابق بوظيفة Trojan (RAT) عن بُعد ، مما يسمح للمهاجمين بتنفيذ أوامر تعسفية على الجهاز المستهدف. بالإضافة إلى ذلك ، فهي قادرة على تواريخ متصفح exfiltrating ، ومعلومات التقويم ، وحتى المحتوى من BlackBerry Messenger وتطبيقات المراسلة الفورية IMO.
“تم العثور على عينات من Sunbird استضافت في متاجر تطبيقات الطرف الثالث ، مما يشير إلى واحدة من آلية التوزيع الممكنة” ، هذا ما قاله الباحثون. “بالنظر إلى أن العديد من عينات البرامج الضارة هذه يتم تحصينها – كما في أنها تحتوي على وظائف مستخدم كاملة – قد تلعب الهندسة الاجتماعية أيضًا دورًا في أهداف مقنعة لتثبيت البرامج الضارة.”
حددت Lookout عينات Hornbill في الآونة الأخيرة في ديسمبر 2020 ، مما يشير إلى استخدام نشط للبرامج الضارة منذ اكتشافها في عام 2018. من ناحية أخرى ، يبدو أن Sunbird قد تم نشره بنشاط في عامي 2018 و 2019 ، قبل أن ينتقل ممثل التهديد إلى برامج تجسس أخرى على أساس الروبوت المسمى دردش العام الماضي.
ومن المثير للاهتمام ، أن البنية التحتية C2 التي تشاركها Hornbill و Sunbird تكشف عن صلات أخرى مع عمليات المطارد الأخرى التي أجراها مجموعة كونفوشيوس-بما في ذلك تحذير استشاري للحكومة الباكستاني لعام 2018 من عام 2018-مما يعني أن الأدوات تستخدم نفس العمل لتجهيزات متوقفة مختلفة.
على الرغم من أن الهند كانت مشاركًا جديدًا نسبيًا في قطاع برامج التجسس والمراقبة ، إلا أن باحثو Citizen Lab في يونيو الماضي ، حيث احتلوا مجموعة مرتزقة من أجل الاستئجار في دلهي تسمى Belltrox Infotech والتي تهدف إلى سرقة بيانات الاعتماد من الصحفيين ، ومجموعات الدعوة ، وشركات الاستثمار ، ومجموعة من الأهداف العالية الأخرى.
