Sprzymierzona z Rosją grupa Turla mogła namierzać i szpiegować dyplomatów

Analitycy ds. cyberbezpieczeństwa ESET zdemaskowali mechanizm cyberszpiegowski, wymierzony w europejskie ministerstwa spraw zagranicznych i misje dyplomatyczne za granicą, głównie na Bliskim Wschodzie. – Te narzędzia są używane od co najmniej 2020 roku, a biorąc pod uwagę podobieństwa do wcześniejszych akcji, działania można prawdopodobnie przypisać niesławnej, powiązanej z Rosją grupie cyberszpiegowskiej Turla – uważają badacze ESET.

Analitycy odkryli nieznane wcześniej backdoory (a więc konie trojańskie, dające dostęp do zaatakowanych systemów), które nazwano LunarWeb i LunarMail. Zostały one wykorzystane do ataku na europejskie placówki dyplomatyczne, a planując działania, cyberprzestępcy posłużyli się także m.in. zaawansowaną techniką ukrywania poleceń w obrazach. LunarWeb zbierał i wydobywał informacje z systemu, takie jak informacje o komputerze i systemie operacyjnym, listę uruchomionych procesów, listę usług i listę zainstalowanych produktów zabezpieczających. Natomiast LunarMail przy pierwszym uruchomieniu zbierał adresy e-mail odbiorców z wysłanych przez użytkownika wiadomości e-mail.

– Atak był miejscami bardzo wyrafinowany technicznie, ale pod innymi aspektami wręcz przeciwnie. Na przykład staranna instalacja na zaatakowanym serwerze w celu uniknięcia skanowania przez oprogramowanie zabezpieczające, kontrastowała z błędami w kodowaniu i różnymi stylami kodowania backdoorów. Najprawdopodobniej zatem, w rozwój i działanie tych narzędzi zaangażowanych było wiele różnych osób – mówi Filip Jurčacko, badacz ESET, który odkrył zestaw narzędzi Lunar.

Eksperci przypisują atak powiązanej z Rosją grupie Turla. Ta cyberprzestępcza grupa znana również jako Snake, jest aktywna od co najmniej 2004 roku, a być może nawet od późnych lat 90-tych. Uważana za część rosyjskiej FSB, Turla atakuje głównie podmioty o wysokim profilu, takie jak rządy i organizacje dyplomatyczne w Europie, Azji Środkowej i na Bliskim Wschodzie. Grupa jest znana z włamań do największych organizacji, w tym Departamentu Obrony USA w 2008 roku i szwajcarskiej firmy RUAG w 2014 roku.

Szczegóły mechanizmu

Dochodzenie rozpoczęło się od wykrycia tzw. loadera (złośliwego kodu stosowanego w celu zaaplikowania końcowego złośliwego oprogramowania), wdrożonego na niezidentyfikowanym serwerze, który odszyfrowuje i ładuje zawartość z pliku. Doprowadziło to badaczy ESET do odkrycia nieznanego wcześniej backdoora, który nazwano LunarWeb. Następnie wykryto podobny łańcuch zależności w przypadku LunarWeb wdrożonego w instytucji dyplomatycznej. Co ważne, atakujący dołączył również drugiego backdoora – nazwanego LunarMail – który wykorzystuje inną metodę do komunikacji z serwerem kontrolującym. Podczas innego ataku ESET zaobserwował jednoczesne wdrożenie łańcucha z LunarWeb w trzech instytucjach dyplomatycznych europejskiego kraju na Bliskim Wschodzie, które nastąpiło w ciągu kilku minut od siebie. Atakujący prawdopodobnie miał wcześniejszy dostęp do kontrolera domeny ministerstwa spraw zagranicznych i wykorzystał go, aby dostać się do maszyn powiązanych instytucji w tej samej sieci.

LunarWeb, wdrożony na serwerach zaatakowanych instytucji, wykorzystuje HTTP(S) do komunikacji z kontrolowanymi przez cyberprzestępców tzw. serwerami C&C (Command & Control), naśladując legalne żądania, podczas gdy LunarMail, wdrożony na stacjach roboczych, instaluje się jako dodatek do Outlooka i wykorzystuje wiadomości e-mail do komunikacji z serwerami C&C. Oba backdoory wykorzystują steganografię, technikę, w której polecenia są ukryte w obrazach, aby uniknąć wykrycia. Ich programy ładujące mogą występować w różnych formach, w tym jako trojanizowane oprogramowanie open-source, co pokazuje zaawansowane techniki stosowane przez atakujących.

Odzyskane w trakcie analizy komponenty służące do instalacji i aktywność atakującego sugerują, że początek ataku mógł nastąpić poprzez spearphishing i nadużycie źle skonfigurowanego oprogramowania Zabbix, służącego do monitorowania sieci i aplikacji. Co więcej, gdy atakujący miał już dostęp do sieci, wykorzystał skradzione dane uwierzytelniające i podjął ostrożne kroki w celu zaatakowania serwera bez wzbudzania podejrzeń. Badacze znaleźli także starszy złośliwy dokument Word, prawdopodobnie pochodzący z wiadomości e-mail typu spearphishing.