Az ESET felfedezett egy új, a Turla hackercsoport által használt kártevő programot, a Gazert. A program segítségével 2016 óta támadnak európai intézményeket, elsősorban nagykövetségeket, konzulátusokat, illetve az ott dolgozó diplomatákat.
Mi is a Turla?
A Turla egy diplomáciai és katokai célpontokra specializálódott, feltehetően orosz hackercsoport. Európából, az USA-ból, a Közel-Keletről és Közép-Ázsiából lopnak katonai, politikai és stratégiai adatokat. Kutatási szerveket és gyógyszercégeket is célba vesznek, illetve öregebb műholdakat is sikeresen támadtak.
A metódus
A Turla hackercsoport évek óta támad különböző főleg európai kormányszerveket és nagykövetségeket adathalász és watering hole akciókkal. Előbbi lényege, hogy valamilyen módon megtévesztik az áldozatot, például a hackerek küldenek egy jelszóváltoztatásra felszólító emailt, vagy egy szinte tökéletesen lemásolt weboldal segítségével, melynél a felhasználó gyanútlanul bejelentkezik, így megadva a hackereknek az adatait. Utóbbi esetében pedig a célpont által gyakran látogatott weboldalakat veszik célba, hogy azokon keresztül fertőzzék meg a számítógépet. Ha az akció sikeres, a Gazer eljut a célszemély gépére, mely egy backdoor típusú program, ahogy a neve is sugallja /hátsó ajtó/ az áldozat tudta nélkül biztosít hozzáférést a rendszerbe a hacker számára.
„A taktika, a technika és a támadásnál alkalmazott folyamatok teljesen beleillenek a Turla akcióinak sorába” – mondta Jean-Ian Boutin, az ESET kártevőkutatója. „Az első fázisban alkalmazott, adathalász módszerekkel célba juttatott backdoor programot (pl. Skipper), egy második fázisú hátsó kapu program követi, ebben az esetben a Gazer.”
Miért is fedezhető fel nehezen?
A Gazerhez hasonló programok kódolt utasításokat kapnak a hackerek távoli vezérlő szerveréről, ezek pedig tetszőlegesen futtathatóak a már fertőzött gépeken, vagy a velük egy hálózaton lévő eszközökön. Emellett egyedi titkosításokat használnak, saját 3DES vagy RSA könyvtárakkal. Az RSA egy nyíltkulcsú titkosítási algoritmus, a forrásokban beágyazott RSA kulcs tartalmazza a nyilvános szerver támadók általi kulcsvezérlőjét és egy privát kulcsot. Ezek a kulcsok minden egyes mintában egyediek, és a vezérlő szervernek elküldött, vagy onnan fogadott adatok titkosítására és dekódolására használják őket. Egy megfelelő gondossággal kivitelezett RSA-titkosítás eredménye számításelméleti okok miatt nem fejthető vissza olyan gyorsan, hogy érdemes legyen megpróbálni.
„A Turla ügyesen kerüli el az észlelést” – folytatta a szakember. „A kártevő készítői először is fájlokat törölnek a feltört rendszerből, majd megváltoztatják a karakterláncot és a backdoor programok segítségével randomizálják az általuk felhasznált marquee (HTML) elemeket. Ebben a legújabb esetben, a Gazer írói megváltoztatták a sima marquee elemeket és videójátékokból emeltek be olyan sorokat, mint a „Csak egy játékos engedélyezett”.
A szakemberek szerint a felfedezésük ezekkel az egyedi, korábban még nem
dokumentált hátsó ajtó programokkal kapcsolatban komoly lépés a megoldás
irányába a kiberkémkedések egyre nagyobb problémát jelentő világában.
Nincsenek megjegyzések:
Megjegyzés küldése