Új backdoor programot fedezett fel az ESET

A Turla csoport által használt programmal évek óta kémkedtek európai kormányzati szervek után

forrás: Prím Online, 2017. augusztus 31. 12:57

Új, a Turla hackercsoport által használt fejlett backdoor programot fedezett fel az ESET. A Gazer nevű programmal 2016 óta támadják az európai intézményeket, elsősorban nagykövetségeket és konzulátusokat, illetve az ott dolgozó diplomatákat.

Az évek óta európai kormányokat és nagykövetségeket célzó Turla kémcsoport watering hole és adathalász akciókkal támadja áldozatait. Az ESET kutatói néhány fertőzött géptől eltekintve leginkább Európában találkoztak az újonnan dokumentált Gazer kártevővel, amelynek segítségével fejlett módszerekkel kémkednek az áldozatok után.

 

„A taktika, a technika és a támadásnál alkalmazott folyamatok teljesen beleillenek a Turla akcióinak sorába” – mondta Jean-Ian Boutin, az ESET kártevőkutatója. „Az első fázisban alkalmazott, adathalász módszerekkel célba juttatott backdoor programot (pl. Skipper), egy második fázisú hátsó kapu program követi, ebben az esetben a Gazer.”

 

 

Az észlelhetetlen észlelése

Ahogy más hasonló program, a Turla által alkalmazott második fázisú hátsóajtó (backdoor) program – mint korábban a Carbon vagy a Kazuar –, a Gazer is kódolt utasításokat kap a támadók távoli vezérlő szerveréről (C&C, command-and-control), amelyek tetszőlegesen futtathatóak a már fertőzött számítógépen, vagy akár a hálózaton lévő más gépeken.

 

A Gazer alkotói kiterjedten használják egyedi titkosításukat is, saját 3DES vagy RSA könyvtárat alkalmazva. A forrásokban beágyazott RSA kulcs tartalmazza a nyilvános szerver támadók általi kulcsvezérlőjét és egy privát kulcsot.

 

Ezek a kulcsok minden egyes mintában egyediek, és a C&C szervernek elküldött, vagy onnan fogadott adatok titkosítására és dekódolására használják őket. A Turla csoport virtuális fájlrendszereket is alkalmaz a Windows registry kulcsokban, hogy megkerülje az antivírus programokat és tovább támadhassa a rendszert. 

 

„A Turla ügyesen kerüli el az észlelést” – folytatta a szakember. „A kártevő készítői először is fájlokat törölnek a feltört rendszerből, majd megváltoztatják a karakterláncot és a backdoor programok segítségével randomizálják az általuk felhasznált marquee (HTML) elemeket. Ebben a legújabb esetben, a Gazer írói megváltoztatták a sima marquee elemeket és videójátékokból emeltek be olyan sorokat, mint a „Csak egy játékos engedélyezett”. Az ESET szakembereinek felfedezése ezekkel az egyedi, korábban még nem dokumentált hátsó ajtó programokkal kapcsolatban komoly lépés a megoldás irányába a kiberkémkedések egyre nagyobb problémát jelentő világában.

 

A Turla kártevőről bővebben a welivesecurity.com oldalon olvashat, ahol a teljes ismertető is letölthető

Biztonság ROVAT TOVÁBBI HÍREI

Gyerekcsapdák a kiber játszótéren

Az internet a családok természetes közege, az X és az Y generáció megtapasztalta, hogy a betárcsázó modemekből hogyan alakult ki a szélessávú internet és hogyan terjedt el a mobil technológia a világban. A mai gyerekek már egy virtuális hálóval átszőtt világba születnek bele - ahol a technológia áthat mindent, amit csinálnak, az iskolából a játszótérre menet.

2017. szeptember 21. 09:43

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Késésben vagy? - Akkor gyorsan regisztrálj!

2017. szeptember 19. 19:45

Együttműködés a biztonságos jövőért

2017. szeptember 6. 09:21

Elsőként került magyar cég a nemzetközi HR elitbe

2017. augusztus 4. 13:40

Júniusi vírusriport az ESET-től

2017. július 25. 17:21
cloudappsportal.com