Turla backdoors კომპრომეტირებს ევროპის მთავრობის საგარეო ოფისებს

  • Sep 06, 2023

უკანა კარებს ეუბნებიან, რა უნდა გააკეთონ და რა მოიპარონ ელექტრონული ფოსტით.

ESET-ის მკვლევარებმა, რომლებიც თვალყურს ადევნებენ ცნობილ უკანა კარს და კიბერშპიონაჟის კამპანიას, გააფრთხილეს, რომ სია მთავრობის მსხვერპლთა რიცხვი ბევრად უფრო გრძელია, ვიდრე ადრე ეგონათ - და სულ მცირე, ორი ახალი ევროპული ოფისი დაიმორჩილა.

უსაფრთხოება

  • უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
  • როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
  • საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
  • როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ

Backdoor არის მოწინავე მუდმივი საფრთხის (APT) ჯგუფის ნამუშევარი, რომელიც ცნობილია როგორც Turla. Turla ადრე იყო დაკავშირებული Gazer malware-ის ოჯახთან, რომელიც ადრე გამოიყენებოდა ევროპის სხვადასხვა სამთავრობო და დიპლომატიური ორგანოების წინააღმდეგ.

გაზერი იყო დაკავშირებული სარწყავი ხვრელის შეტევები და შუბის ფიშინგის კამპანიები კიბერშპიონაჟის მიზნით სამთავრობო უწყებებისა და დიპლომატების სამიზნე.

2017 წელს ტურლა ასევე დაუკავშირდა გერმანიის საგარეო საქმეთა ფედერალურ ოფისში ჩამონტაჟებულ უკანა კარს, სადაც ის გამოიყენებოდა კონფიდენციალური მთავრობის ინფორმაციის მოსაპოვებლად წლის უმეტესი ნაწილის განმავლობაში.

ტურლას სჯერა წარმოშობით რუსეთიდან და აქტიურია სულ მცირე 2008 წლიდან. ახლა, როგორც ჩანს, APT აძლიერებს თავის ძალისხმევას და იგივე ბერკეტი გამოიყენა ევროპის ორი სხვა ქვეყნის საგარეო ოფისების წინააღმდეგ.

გარდა ამისა, უსახელო თავდაცვის მთავარი კონტრაქტორი ასევე გახდა საფრთხის ფაქტორების მსხვერპლი.

ამ კამპანიებში გამოყენებული backdoor შეიქმნა 2009 წელს და მას შემდეგ განიცადა მთელი რიგი რადიკალური ცვლილებები. ფარულად, შეუძლია თავიდან აიცილოს გამოვლენა დიდი ხნის განმავლობაში და ახლახან განახლებულია მავნე PowerShell-ის შესასრულებლად სკრიპტები პირდაპირ კომპიუტერის მეხსიერებაში, მავნე პროგრამამ ახლა მოიპოვა "იშვიათი ხარისხის საიდუმლოება და გამძლეობა", შესაბამისად ESET.

Turla-ს მავნე პროგრამა, რომელიც არის დინამიური ბმული ბიბლიოთეკის (DLL) მოდული, ინარჩუნებს მდგრადობას Windows-ის რეესტრის გაყალბებით. ტექნიკაში, რომელიც ცნობილია როგორც "COM ობიექტის გატაცება", უკანა კარი ავტომატურად განახლდება, როდესაც Microsoft Outlook გაიხსნება.

მავნე პროგრამამ ბოლო დროს გამიზნული Microsoft Outlook-ის მომხმარებლები. თუმცა, თავად პროგრამული უზრუნველყოფა არ გამოიყენება თავდასხმის ვექტორად; უფრო მეტიც, მავნე პროგრამა ცდილობს დაარღვიოს Microsoft Outlook-ის ლეგიტიმური Messaging Application Programming Interface (MAPI) მსხვერპლის შემოსულებში შეღწევისთვის.

Იხილეთ ასევე: იარაღი უკვე დიდი ბრიტანეთის ქუჩებშია. 3D ბეჭდვამ შეიძლება გააუარესოს ყველაფერი.

ამ უკანა კარის საინტერესო ელემენტია ის, თუ როგორ ირჩევს ტურლა მის კონტროლს. მავნე პროგრამების უმეტესობა იყენებს ბრძანებისა და კონტროლის (C&C) ცენტრებს ბრძანებების გასაცემად, მაგრამ ამ შემთხვევაში, შემუშავებული .PDF ფაილები, რომლებიც გაგზავნილია კომპრომეტირებული ელფოსტის შემოსულებში, აგზავნის ოპერატიულ ბრძანებებს.

როდესაც მსხვერპლი იღებს ელ.წერილს, მავნე პროგრამა ქმნის ჟურნალს, რომელიც შეიცავს ინფორმაციას შეტყობინების შესახებ, მათ შორის გამგზავნის, მიმღების, საგნისა და დანართის სახელებს. ეს მონაცემები შემდეგ რეგულარულად გროვდება და იგზავნება Turla APT-ში .PDF დოკუმენტის მეშვეობით.

თუმცა, საფრთხის ჯგუფი ფრთხილად აგზავნის ამ წერილებს მხოლოდ სტანდარტული სამუშაო საათების განმავლობაში, რათა თავიდან აიცილოს ეჭვი. ელ.ფოსტის ყველა შეტყობინება ასევე დაბლოკილია ხედვისთვის.

TechRepublic: ტოპ 5: დაშიფვრის უკანა კარების რისკები

"კომპრომეტირებულ მანქანას შეიძლება მიეცეს ინსტრუქტაჟი შეასრულოს მთელი რიგი ბრძანებები." ESET-ის მკვლევარებმა განაცხადეს. „ყველაზე მნიშვნელოვანი, ეს მოიცავს მონაცემთა ექსფილტრაციას, ასევე დამატებითი ფაილების ჩამოტვირთვას და დამატებითი პროგრამებისა და ბრძანებების შესრულებას. თავად მონაცემთა ექსფილტრაცია ასევე ხდება .PDF ფაილების მეშვეობით."

Backdoor არის ის, რასაც მკვლევარები უწოდებენ "ოპერატორ-აგნოსტიკურს", რაც ნიშნავს, რომ მავნე კოდი მიიღებს ბრძანებებს ნებისმიერისგან, რომელსაც შეუძლია მათი დაშიფვრა შემუშავებულ .PDF-ში.

ეს შეიძლება იყოს ტექნიკა, რომელიც გამოიყენება მავნე პროგრამული უზრუნველყოფის ოპერაციების კოლაფსის თავიდან ასაცილებლად იმ შემთხვევებში, როდესაც მავნე C&C ცენტრები იტაცებს კიბერუსაფრთხოების გუნდებს ან სამართალდამცავ ორგანოებს.

CNET: კონგრესი წარადგენს კანონპროექტს მთავრობის დაშიფვრის უკანა კარების დაბლოკვის შესახებ

Turla არის ერთადერთი ჯგუფი, რომელიც ცნობილია მკვლევრებისთვის, რომელიც იყენებს ელ.ფოსტაზე დაფუძნებულ ბრძანების სისტემებს და საქმე ცხადყოფს, თუ რამდენად ინოვაციური შეიძლება იყოს APT ჯგუფები, როდესაც ღირებული პოლიტიკური ინფორმაცია მოიპოვება.

ZDNet დაუკავშირდა ESET-ს დამატებითი მოთხოვნებით და განახლდება, თუ ჩვენ მოვისმენთ.

ბნელ ქსელში ჩაძირვის ძირითადი სახელმძღვანელო

წინა და დაკავშირებული გაშუქება

  • მექსიკელები მსახურობდნენ მუქი ტეკილასთან ერთად ჯაშუშური პროგრამების დროს
  • ჰაკერი ინახავს Superdrug-ის 20000 მომხმარებლის მონაცემებს გამოსასყიდად
  • Adobe გამოუშვებს გრაფიკის გარეშე კოდის დისტანციური შესრულების შესწორებას