FireEye近日發(fā)布報告稱，黑客入侵了敘利亞反對派的計算機網(wǎng)絡(luò)，竊取了7.7GB的秘密通訊內(nèi)容和軍事計劃。

背景

2013年6月份，10個反敘利亞政府的武裝組織正在計劃著一次反政府武裝運動。他們精心部署軍事計劃，其作戰(zhàn)指揮圖片全部以電子圖片的形式存儲。

如下圖所示，圖中標明了預(yù)備役戰(zhàn)士的地理位置、集結(jié)待命區(qū)、保障人員、現(xiàn)場操作區(qū)和后續(xù)軍隊供應(yīng)路線。

欺騙的藝術(shù)：假扮美女網(wǎng)聊

攻擊者事先瞄準了幾個位于敘利亞的反政府組織，包括武裝反動人員、人道主義救援人員、媒體等，然后將Skype(一款流行網(wǎng)絡(luò)電話軟件)設(shè)置為一位美女頭像，與目標人員進行聊天。

“她”通常會問受害者使用的是否是安卓版(或者PC)的Skype，然后再發(fā)送精心設(shè)計的惡意程序。受荷爾蒙影響，受害者大多會向攻擊者索要真實的照片——于是攻擊者會發(fā)送給受害者.pif后綴的自解壓文件。

當受害者打開圖片時，不僅會顯示一張女性的照片，還會在后臺自動的安裝惡意后門程序DarkComet RAT。當下的DarkComet RAT提升了隱藏技術(shù)，以躲避安全軟件的追蹤。

除此之外，攻擊者還創(chuàng)建了釣魚網(wǎng)站和Facebook頁面，偽裝成反政府武裝人員，這些網(wǎng)站和頁面上都包含有惡意鏈接。

科普：什么是DarkComet RAT?

DarkComet RAT是國外的一款遠程控制軟件，它完全免費，功能包含鍵盤記錄、視頻監(jiān)控、系統(tǒng)控制等等，之前在國內(nèi)應(yīng)該不少安全愛好者在使用了，本次DarkComet RAT發(fā)布了最終版本(5.3.1)，并且修復(fù)了一系列BUG，以及新增了一些功能。5.3.1版本相對比較穩(wěn)定。點我查看更多內(nèi)容

攻擊分析

攻擊者使用的是多個惡意程序的組合，具有一些比較常見的惡意代碼，如之前FireEye披露的DarkComet RAT(鍵盤記錄器和信息搜集工具)。通過一系列策略，攻擊者成功竊取了反對派的數(shù)百份文檔、近31107個Skype通話記錄(一些攻擊政府軍隊的計劃討論)、12356個聯(lián)系人資料、240381條短信。

內(nèi)容涵蓋：

軍事信息
政治信息
人道主義活動和資金
難民個人信息
媒體和通訊

在已經(jīng)發(fā)現(xiàn)的文件中，包含了帶注釋的衛(wèi)星圖片，Skype聊天記錄，武器登記記錄和反對派成員的個人信息。

攻擊者選擇攻擊受害者的安卓設(shè)備是一個很明智的選擇。智能手機是當下最通用的社交工具，攻破手機即可獲得大量的數(shù)據(jù)(包括短信、通話記錄、聯(lián)系人、郵件等)。

雖然感染的設(shè)備量有限，但是受感染的人卻大多是武裝組織里的組織者或軍事專家，所以可想而知從他們身上搜集的資料價值肯定很大，這些情報在戰(zhàn)爭中的重要性不言而喻。

誰是真兇?

研究人員目前無法證實這一切的幕后操縱者是誰。但是，從聊天的內(nèi)容來看，研究人員猜測應(yīng)該與黎巴嫩有關(guān)，因為攻擊者在聊天時一直在說自己在黎巴嫩。

這到底在暗示著什么?請關(guān)注后續(xù)報道。

參考來源：http://securityaffairs.co/wordpress/33023/cyber-crime/syrian-oppositions-hacked.html