Symantec, en digital sikkerhed selskab, siger, at det har identificeret en vedvarende cyber spionage kampagne, sandsynligvis statsstøttet, mod Indiske og Pakistanske enheder, der er involveret i regionale sikkerhedsspørgsmål.
I en threat intelligence rapport, der blev sendt til kunder i juli, Symantec sagde online spionage indsats dateres tilbage til oktober 2016, ifølge nyhedsbureauet Reuters.
Kampagnen viste sig at være arbejdet i flere grupper, men taktikker og teknikker, der anvendes tyder på, at de grupper, der var i drift med “lignende mål eller under den samme sponsor”, sandsynligvis en nation, stat, i henhold til den trussel rapport, som blev gennemgået af Reuters. Det gjorde ikke nævne navnet på en stat.
Den detaljerede rapport om cyber-spionage kommer på et tidspunkt med øget spændingerne i regionen.
Det Indiske militær havde rejst operationelle beredskab langs sin grænse til Kina efter en face-off nær grænsen i Sikkim, mens Indo-Pakistanske spændinger er også ulmende over Islamabad s støtte til terror-grupper, der opererer i Kashmir.
En talsmand for Symantec sagde, at selskabet ikke kommentere offentligt på den malware, analyse, undersøgelser og incident response service det giver kunder.
Symantec ikke identificere sandsynlige sponsor af angreb. Men det siges, at regeringer og militær med aktiviteter i det Sydlige Asien og interesser i regionale sikkerhedsspørgsmål sandsynligvis ville være i fare for malware. Den malware, der udnytter den såkaldte “Ehdoor” bagdør for at få adgang til filer på computere.
“Der var en lignende kampagne, der er målrettet Qatar ved hjælp af programmer kaldet Spynote og Revokery,” sagde en sikkerhed ekspert, der ønskede anonymitet. “De var bagdøre ligesom Ehdoor, som er en målrettet indsats for det Sydlige Asien.”
For at installere malware, Symantec fandt, at angriberne brugte lokkedue dokumenter vedrørende sikkerhedsspørgsmål i det Sydlige Asien. De dokumenter, der indgår rapporter fra Reuters, Zee News, og den Hinduistiske, og var relateret til militære spørgsmål og Kashmir.
Den malware, giver spioner for at uploade og downloade filer, udføre processer, logge tastetryk, identificere mål beliggenhed, stjæle personlige data, og tag screenshots, Symantec sagde, tilføjer, at malware blev også bliver brugt til at målrette Android-enheder.
I svar på hyppige it-sikkerhedsmæssige hændelser, Indien i februar etableret et center for at hjælpe virksomheder og enkeltpersoner med at finde og fjerne malware. Centret drives af den Indiske Computer Emergency Response Team (CERT).
Gulshan Rai, generaldirektør CERT-I, afviste at kommentere specifikt på de angreb, som er citeret i Symantec rapport, men tilføjede: “Vi fandt hurtig action, når vi har opdaget en bagdør i oktober sidste år efter at en gruppe i Singapore advaret os.” Han kom ikke nærmere.
Symantecs rapport sagde en undersøgelse af bagdøren viste, at det var hele tiden ved at blive ændret for at give “ekstra funktioner” for spionage-operationer.
En højtstående embedsmand med Pakistans Føderale Investigation Agency sagde, at det havde ikke modtaget rapporter om malware hændelser fra regeringens it-afdelinger. Han spurgte ikke at blive navngivet på grund af følsomheden af sagen.
En talsmand for FireEye, en anden cyber-sikkerhed selskab, sagde, at der er baseret på en indledende gennemgang af den malware, der havde konkluderet, at en internet-protokol-adresse i Pakistan havde indgivet malware til en test service. Talsmand anmodet om anonymitet, med henvisning til selskabets politik.