Nově sledované aktivity dotvářejí celkový obraz kyberzličinných akcí v tomto regionu. Hackeři se snaží využívat poměrně jednoduché malwary domácí výroby, které doplňují o veřejně dostupné nástroje. V tomto případě jsme tak mohli sledovat vylepšenou verzi Remexi backdooru – nástroje, který umožňuje vzdálené ovládání napadeného zařízení.

„Když mluvíme o státem řízených kyberšpionážních kampaních, většině lidí se vybaví pokročilé operace s komplexními nástroji, které vyvinuli počítačoví odborníci. Lidé odpovědní za tento útok jsou ale s největší pravděpodobností obyčejní systémoví administrátoři, kteří umějí programovat. Jejich kampaň totiž daleko více závisí na kreativním použití již existujících nástrojů než na nově naprogramovaných, pokročilých programech. Nicméně i relativně jednoduché nástroje mohou způsobit výrazné škody,“ varuje Denis Legezo, bezpečnostní odborník ze společnosti Kaspersky Lab.

Remexi byl poprvé zaznamenán v roce 2015, kdy ho použila skupina Chafer pro kybernetické sledování individuálních uživatelů a menšího počtu organizací na Blízkém východě. Odborníci z Kaspersky Lab jsou do značné míry přesvědčeni o tom, že původci současných útoků pocházejí ze skupiny Chafer. Backdoor použitý v této kampani totiž vykazuje kódové podobnosti se známým Remexi.

Nově objevený Remexi malware je schopný provádět příkazy na dálku a získat tak z napadeného počítače screenshoty, data z prohlížeče včetně přihlašovacích údajů, historie prohlížení a jakýkoliv psaný text. Ukradená data následně útočníci dostanou z uživatelova zařízení díky legitimní aplikaci Microsoft Background Intelligent Transfer Service (BITS) – což je doplněk Windows, který umožňuje provádět aktualizace na pozadí. Tento trend, kdy kyberzločinci kombinují malware s přivlastněným nebo legitimním kódem, jim pomáhá šetřit čas i peníze, a navíc znesnadňuje jejich odhalení.