O nouă cercetare ESET descoperă Gazer, un backdoor ce spionează ambasadele


Cercetătorii de securitate ESET au lansat o nouă cercetare privind activitățile celebrului grup de spionaj cibernetic Turla și anume un backdoor nedocumentat, care a fost folosit pentru a spiona consulatele și ambasadele din întreaga lume.

Echipa de cercetare a ESET este prima din lume care a documentat backdoor-ul malware avansat, pe care l-a numit "Gazer", în ciuda dovezilor care spuneau că a fost folosit activ în atacuri direcționate împotriva guvernelor și diplomaților încă de la cel începutul anului 2016.

Succesul lui Gazer poate fi explicat prin metodele avansate pe care le utilizează pentru a spiona țintele și capacitatea sa de a rămâne persistent pe dispozitivele infectate, trecând nevăzut pe calculatoarele victimei, în încercarea de a fura informații pentru o perioadă lungă de timp.

Cercetătorii ESET au descoperit că Gazer a reușit să infecteze o serie de computere din întreaga lume, cele mai multe victime fiind situate în Europa. În mod curios, examinarea realizată de către ESET a unei serii de campanii diferite de spionaj care a folosit Gazer a identificat faptul că obiectivul principal pare să fi fost Europa de Sud-Est, precum și țările din fosta Uniune Sovietică.

Atacurile arată toate amprentele campaniilor anterioar lansate de grupul de hacking Turla, și anume:

  • Organizațiile vizate sunt ambasadele și ministerele;
  • Spearphishing oferă un backdoor în primă etapă, cum ar fi Skipper;
  • Un al doilea backdoor stealthier (Gazer în acest caz, dar exemple din trecut au inclus Carbon și Kazuar) este pus în aplicare;
  • Backdoorul din a doua etapă primește instrucțiuni criptate de la atacatori prin intermediul serverelor C & C, utilizând site-uri compromise, legitime ca proxy.

O altă asemănare notabilă între Gazer și creațiile anterioare ale grupului de spionaj cibernetic Turla devine evidentă atunci când se analizează malware-ul. Gazer depune eforturi suplimentare pentru a evita detectarea prin schimbarea șirurilor din codul său, a marcatorilor de randomizare și a ștergerii fișierelor în siguranță.

În cel mai recent exemplu de malware de tip backdoor din Gazer, găsit de echipa de cercetare a ESET, s-au văzut dovezi clare că cineva a modificat majoritatea șirurilor sale și a introdus fraze legate de jocuri video prin codul său.

Creatorii malware-ului Gazaer par a fi fani ai unor jocuri

 

Nu vă lăsați păcăliți de simțul umorului pe care îl prezintă aici grupul de hacking Turla, nu este nimic de râs.

Toate organizațiile, fie ele guvernamentale, diplomatice, de aplicare a legii sau în afaceri tradiționale, trebuie să ia în serios amenințările sofisticate de astăzi și să adopte o apărare stratificată pentru a reduce șansele unei încălcări a securității.

 

GRAHAM CLULEY
CORESPONDENT INDEPENDENT

Georgiana September 11, 2017

Lasa un comentariu