Sirski režim izkorišča trojanske konje za pregon nasprotnikov
Matej Huš
4. maj 2012 ob 23:14:23
Informacije in dokazi iz različnih virov kažejo, da je sirski režim lani le nekaj tednov po začetku vstaje začel uporabljati trojanske konje in socialni inženiring za vohunjenje za nasprotniki režima (poleg klasičnega izklapljanja interneta). Že februarja letos je CNN poročal o (takrat nepotrjenih) navedbah uporabe trojanskih konjev.
Kot je povedala tuja predstavnica, ki je delala v humanitarni odpravi, se je njen računalnik nalezel sirskih trojanskih konjev po spletnem klepetu z domnevnim nasprotnikom režima. Izkazalo se je, da se je prek Skypa pogovarjala s človekom, ki je prevzel tujo identiteto in se je izdajal za nasprotnika, s katerim se je bila delavka predhodno dopisovala. Med pogovorom ji je poslal izvršilno datoteko in ji naročil, da jo zažene, saj bo le tako lahko prepričana, da pogovoru ne prisluškujejo. Po zagonu datoteke se navidezno ni zgodilo nič in kmalu je pozabila nanjo.
V resnici sirski režim tako podtika trojanske konje. Analiza je pokazala, da uporabljajo vsaj dva. Takoj po aretaciji nasprotnikov režima namreč od njih izsilijo uporabniška imena in gesla za dostop do Skypa, Facebooka in ostalih komunikacijskih kanalov, nato pa v njihovem imenu začno zavajati ostale nasprotnike. Pod različnimi pretvezami jim pošljejo datoteke, ki ob zagonu okužijo računalnik s trojanskimi konji. Pregled je pokazal, da gre za keyloggerje, trojanske konje in ostale programje, ki ga s skupnim imenom nazivamo RAT (remote access tools). Zbrane informacije pošiljajo na naslov 216.6.0.28, ki pripada organizaciji pod vladnim nadzorom. Kasneje je postalo znano, da gre za variante pogostega programa DarkComet RAT.
Sedaj so pri F-Secure dobili neizpodbitne dokaze, ki potrjujejo omenjene navedbe. V preiskavo so dobili kloniran trdi disk nasprotnika režima, za katerega se je izkazalo, da je tudi okužen. Odkrili so, da naj bi bil z njim prek Skypa govoril človek, ki je bil v resnici tedaj že aretiran. Neznani podpornik režima, ki se je izdajal za omenjenega nasprotnika, mu je podtaknil datoteko MACAddressChanger.exe, ki je vsebovala program Xtreme RAT. Gre za klasičen RAT, ki omogoča popoln oddaljen nadzor nad računalnikom, podatke pa pošilja na isti IP-naslov. Obstaja utemeljen sum, da posameznikov ne ciljajo naključno, ampak gre za natančno izbrane nasprotnike režima.