סוס טרויאני סיני תוקף את מוצרי מיקרוסופט ומקליט שיחות סקייפ

מתקפת הסייבר הסינית מתרחבת: וירוס טרויאני בשם T9000 התחיל לתקוף רשתות של תעשיית הרכב האמריקאית, ממשלות מקומיות באזור אסיה וגם את מחשבים של חברים בארגוני זכויות אדם. הווירוס מכוון באופן ישיר למוצרי מיקרוסופט, ובין השאר מקליט שיחות בסקייפ ומעתיק קבצי וורד.

חברת הסייבר פאלו אלטו ניתחה את הקוד של הווירוס וטוענת שהוא שדרוג לוירוס T5000, שפותח, לפי ההערכות, על ידי חטיבת הסייבר של הצבא הסיני ונקשר להתקפות כנגד גוגל ומיקרוסופט ב-2013. בין השאר, הצבא הסיני תקף את שירותי הדוא"ל של החברות המערביות במטרה להגיע לתיבות הדואר של פעילים בארגוני זכויות אדם הפועלים לשחרור טיבט. 

לפי פאלו אלטו, הווירוס מפיץ את עצמו כקובץ טקסט RTF, שמנצל פריצות אבטחה קיימות בווינדוס – באופן ספציפי, בגרסאות ישנות יותר של שרתי SQL ובהגדרות ActiveX באופיס. חברת האבטחה טוענת שמדובר בווירוס מתוחכם במיוחד שמפעיל לא מעט אמצעי החמקות מגילוי – הוא מתקין את עצמו שלב אחר שלב, מגלה אילו תוכנות אבטחה ואנטי-וירוס מותקנות על המחשב ועוקף אותן. בפאלו אלטו מצאו שהווירוס לא ניתן לגילוי על ידי תוכנות כגון ווינדוס דנפנדר, AVG, מקאפי, נורטון ועוד.

חלק מהמודלים של הווירוס מסווים את עצמם כקובץ explorer.exe, אחד מהקבצים הבסיסיים ביותר בווינדוס, ואז מבקשים הרשאה לגישה לסקייפ. מודלים אחרים מעתיקים קבצים של אופיס – וורד, אקסל ופאוארפוינט. הווירוס יוצר קשר ישיר עם מרכז הבקרה של הגוף ששלח אותו, עם קוד זיהוי יחודי לאותו מחשב, כך שהמפעיל יכול לגרום נזק משמעותי מרחוק לארגונים וחברות על ידי מחיקה והצפנה של מסמכים במידת הצורך.

מודל אחר שולח צילומי מסך של שולחן הבקרה מדי 20 שניות ומנטר את כל פעילות המחשב ותעבורת הרשת. בסך הכל, הצליחה חברת האבטחה לפענח את הפעילות של 10 מתוך 24 מודולים שונים בתוך הווירוס המורכב. "יוצר הוירוס הזה הם מקצוענים, והם השתדלו לוודא שהפעילות שלהם לא תתגלה על ידי קהילת האבטחה הבינלאומית" כתבה ג'ן מילי-אוסברן, מומחית אבטחה בפאלו אלטו. לא ברור כעת מה רוחב ההשפעה של T9000, אבל מומחי החברה טוענים שהם איתרו אותו על "מספר רשתות של ארגונים אמריקאים".