Bence
18 °C
32 °C
Index - In English In English Eng

Európai kormányok után kémkedő hekkereket lepleztek le

2017.08.31. 16:27

Új, a Turla nevű hekkercsoport által használt fejlett backdoor programot fedezett fel az ESET. A Gazer nevű programmal 2016 óta támadják az európai intézményeket, elsősorban nagykövetségeket és konzulátusokat, illetve az ott dolgozó diplomatákat – írja közleményében a szlovák biztonsági cég.

Az évek óta európai kormányokat és nagykövetségeket célzó Turla kémcsoport watering hole és adathalász akciókkal támadja áldozatait. Az ESET kutatói néhány fertőzött géptől eltekintve leginkább Európában találkoztak az újonnan dokumentált [pdf] Gazer kártevővel, amelynek segítségével fejlett módszerekkel kémkednek az áldozatok után.

Backdoor? Watering hole? Adathalászat?

Néhány villámmagyarázat a fentiekhez:

  • A backdoor vagy hátsó ajtó olyan kártevő, amely az áldozat tudta nélkül bejárást enged a rendszerébe illetékteleneknek.
  • A watering hole magyarul öntözőlyukat jelent, az ilyen támadások lényege, hogy a célpont által gyakran látogatott weboldalakat hekkelik meg, hogy ezeken keresztül fertőzzék meg magát a célpontot.
  • Az adathalász akciókban a támadó másnak adja ki magát, hogy ezzel tévessze meg az áldozatot, és vegye rá, hogy gyanútlanul megadja az adatait. Tipikus esete például, amikor jön egy email a hekkerektől, ami úgy néz ki, mintha a Google küldte volna, és a Gmail-jelszavunk újra megadását kéri egy oldalon, ami úgy néz ki, mintha a Gmail belépőfelülete volna.

 „A taktika, a technika és a támadásnál alkalmazott folyamatok teljesen beleillenek a Turla akcióinak sorába” – mondta Jean-Ian Boutin, az ESET kártevőkutatója. „Az első fázisban alkalmazott, adathalász módszerekkel célba juttatott backdoor programot (például a Skippert) egy második fázisú hátsó kapu program követi, ebben az esetben a Gazer.”

Visszatérő vendégek

A Turla diplomáciai- és katonai célpontokra specializálódott, Európa, az Egyesült Államok, a Közel-Kelet és Közép-Ázsia országaiból lop katonai, politikai és stratégiai adatokat. Kutatási szerveket és gyógyszercégeket is célba vesznek, általában a Windows vagy a Linux operációs rendszerek hibáit kihasználva, de sikeresen támadtak már meg öregebb műholdakat is.

A kutatók már jó pár éve követik a tevékenységüket.  Az ESET pár hónapja azt szúrta ki, hogy milyen  trükkösen komunikálnak : Britney Spears Instagram-fotóihoz írt kommentekben.

A feltételezések szerint a csoport mögött orosz hekkerek állnak, és az amerikai CrowdStrike biztonsági cég azt állítja, hogy a Turla közel áll az orosz titkosszolgálatokhoz. Biztosan annyit tudni róluk, hogy orosz nyelven kommunikálnak.

Jól elbújnak

Ahogy más hasonló program, a Turla által alkalmazott második fázisú új hátsóajtó – mint korábban a Carbon vagy a Kazuar –, a Gazer is kódolt utasításokat kap a támadók távoli vezérlő szerveréről, amelyek tetszőlegesen futtathatóak a már fertőzött számítógépen, vagy akár a hálózaton lévő más gépeken.

A Gazer alkotói kiterjedten használják az egyedi titkosításukat is, saját 3DES vagy RSA könyvtárat alkalmazva. A forrásokban beágyazott RSA kulcs tartalmazza a nyilvános szerver támadók általi kulcsvezérlőjét és egy privát kulcsot. Ezek a kulcsok minden egyes mintában egyediek, és a vezérlő szervernek elküldött, vagy onnan fogadott adatok titkosítására és dekódolására használják őket. A Turla csoport virtuális fájlrendszereket is alkalmaz a Windows rendszerleíró adatbázisának kulcsaiban, hogy megkerülje az antivírus programokat és tovább támadhassa a rendszert.

A Turla ügyesen kerüli el az észlelést

– mondta Boutin. „A kártevő készítői először is fájlokat törölnek a feltört rendszerből, majd megváltoztatják a karakterláncot és a backdoor programok segítségével randomizálják az általuk felhasznált marquee (HTML) elemeket. Ebben a legújabb esetben a Gazer írói megváltoztatták a sima marquee elemeket és videójátékokból emeltek be olyan sorokat, mint a „Csak egy játékos engedélyezett”.

Az ESET szakembereinek felfedezése ezekkel az egyedi, korábban még nem dokumentált hátsó ajtó programokkal kapcsolatban komoly lépés a megoldás irányába a kiberkémkedések egyre nagyobb problémát jelentő világában – olvasható a közleményben.