Powiązana z Rosją grupa Turla mogła szpiegować europejskich dyplomatów. Odkryto nieznane backdoory

Okdryto nowy mechanizm cyberprzestępczości wykorzystujący dwa backdoory. Oba służyły do szpiegowania europejskich ministerstw spraw zagranicznych i misji dyplomatycznych. Atak mógł być zapoczątkowany spearphishingiem polegającym z reguły na wysłaniu złośliwej wiadomości email. Atak przypisuje się grupie Turla powiązywanej z Rosją.

Badacze ESET do spraw cyberbezpieczeństwa odkryli mechanizm cyberszpiegowski wykorzystywany do ataku na europejskie placówki dyplomatyczne. Rozpoznane zostały nowe backdoory nazwane LunarWeb oraz LunarMail, które były wykorzystane do szpiegowania europejskich ministerstw spraw zagranicznych i misji dyplomatycznych. Cyberprzestępcy wykorzystali też polecenia ukrywane w obrazach. Te narzędzia używane są co najmniej od 2020 roku. 

Jeśli chodzi o pierwszy z backdoorów, LunarWeb, to pracował on zbierając i wydobywając informacje z systemu. Mógł na przykład pozyskać dane o systemie operacyjnym, jak i samym komputerze. Potrafi też zdobyć informacje na temat usług, uruchomionych procesów czy też zainstalowanego oprogramowania zabezpieczającego. Zadaniem LunarMail było natomiast zbieranie adresów email odbiorców, do których użytkownik zainfekowanego komputera wysyłał wiadomości.

Ataki te przypisuje się grupie Turla nazywanej również Snake.

Badacze informują, że sam atak był w niektórych aspektach bardzo wyrafinowany technicznie. Istniały jednak i takie miejsca, gdzie ciężko mówić o jakimkolwiek wyrafinowaniu. Jako przykład podano staranną instalację na zaatakowanym serwerze. Miało to pomóc w uniknięciu skanowania wykonywanego przez produkty zabezpieczające. Z drugiej strony były jednak błędy w kodowaniu, a same backdoory były pisane w różnym stylu. Wygląda zatem na to, że nad stworzeniem i rozwojem tych narzędzi pracowało wiele różnych osób posługujących się niejednolitym stylem kodowania.

Za ataki odpowiada grupa powiązywana z rosyjskim FSB

Ataki te przypisuje się grupie Turla nazywanej również Snake. Zakłada się, że działa ona przynajmniej od 2004 roku nie wykluczając rozpoczęcia pracy cyberprzestępców w późnych latach 90-tych. Grupę Turla powiązuje się Rosją, a konkretniej uważa się ją nawet za część FSB. Ofiarami jej ataków są przede wszystkim organizacje o dużej ważności, jak rządy. Grupa Turla odpowiada między innymi za włamanie do Departamentu Obrony USA, którego dokonano w 2008 roku.

Jak działają odkryte backdoory i jak infekowano komputery?

Samo wykrycie nowego mechanizmu cyberszpiegowskiego zaczęło się od rozpoznania kodu, którego zadaniem jest zaaplikowanie końcowego złośliwego oprogramowania (tzw. loader). Loader został wdrożony na niezidentyfikowanym serwerze odszyfrowującym i ładującym zawartość z pliku. Dzięki temu badacze ESET byli w stanie wykryć wspomnianego wcześniej backdoora LunarWeb. 

LunarWeb, który wdrożono na zaatakowanych serwerach wykorzystuje HTTPS(S) celem komunikacji z serwerami Command & Control, którymi zarządzają cyberprzestępcy. Aby to robić LunarWeb naśladuje legalne żądania.

LunarMail działający na stacjach roboczych instaluje się natomiast jako dodatek do Outlooka. Do komunikacji z serwerami Command & Control wykorzystywane są w tym przypadku wiadomości email. Atak mógł być zapoczątkowany spearphishingiem, który zazwyczaj dokonywany jest poprzez złośliwe wiadomości email oraz nadużyciem nieprawidłowo skonfigurowanego narzędzia do monitorowania sieci i aplikacji. Badaczom udało się nawet znaleźć złośliwy plik Word, który najpewniej miał swoje źródło w wiadomości email typu spearphishing.

Cyberbezpieczeństwo to jeden z najważniejszych tematów w ogólnie pojętej informatyce. Bezpieczeństwo danych, zwłaszcza dzisiaj, jest niezmiernie ważne. Dlatego tak istotne jest wykrywanie nowych rodzajów ataków, aby móc się na nie uodpornić i wyciągać z nich wnioski na przyszłość.