Komunikaty PR

Sprzymierzona z Rosją grupa Turla mogła namierzać i szpiegować dyplomatów

2024-05-21  |  09:15

Analitycy ds. cyberbezpieczeństwa ESET zdemaskowali mechanizm cyberszpiegowski, wymierzony w europejskie ministerstwa spraw zagranicznych i misje dyplomatyczne za granicą, głównie na Bliskim Wschodzie. – Te narzędzia są używane od co najmniej 2020 roku, a biorąc pod uwagę podobieństwa do wcześniejszych akcji, działania można prawdopodobnie przypisać niesławnej, powiązanej z Rosją grupie cyberszpiegowskiej Turla – uważają badacze ESET.

Analitycy odkryli nieznane wcześniej backdoory (a więc konie trojańskie, dające dostęp do zaatakowanych systemów), które nazwano LunarWeb i LunarMail. Zostały one wykorzystane do ataku na europejskie placówki dyplomatyczne, a planując działania, cyberprzestępcy posłużyli się także m.in. zaawansowaną techniką ukrywania poleceń w obrazach. LunarWeb zbierał i wydobywał informacje z systemu, takie jak informacje o komputerze i systemie operacyjnym, listę uruchomionych procesów, listę usług i listę zainstalowanych produktów zabezpieczających. Natomiast LunarMail przy pierwszym uruchomieniu zbierał adresy e-mail odbiorców z wysłanych przez użytkownika wiadomości e-mail.

 Atak był miejscami bardzo wyrafinowany technicznie, ale pod innymi aspektami wręcz przeciwnie. Na przykład staranna instalacja na zaatakowanym serwerze w celu uniknięcia skanowania przez oprogramowanie zabezpieczające, kontrastowała z błędami w kodowaniu i różnymi stylami kodowania backdoorów. Najprawdopodobniej zatem, w rozwój i działanie tych narzędzi zaangażowanych było wiele różnych osób – mówi Filip Jurčacko, badacz ESET, który odkrył zestaw narzędzi Lunar.

Eksperci przypisują atak powiązanej z Rosją grupie Turla. Ta cyberprzestępcza grupa znana również jako Snake, jest aktywna od co najmniej 2004 roku, a być może nawet od późnych lat 90-tych. Uważana za część rosyjskiej FSB, Turla atakuje głównie podmioty o wysokim profilu, takie jak rządy i organizacje dyplomatyczne w Europie, Azji Środkowej i na Bliskim Wschodzie. Grupa jest znana z włamań do największych organizacji, w tym Departamentu Obrony USA w 2008 roku i szwajcarskiej firmy RUAG w 2014 roku.

Szczegóły mechanizmu

Dochodzenie rozpoczęło się od wykrycia tzw. loadera (złośliwego kodu stosowanego w celu zaaplikowania końcowego złośliwego oprogramowania), wdrożonego na niezidentyfikowanym serwerze, który odszyfrowuje i ładuje zawartość z pliku. Doprowadziło to badaczy ESET do odkrycia nieznanego wcześniej backdoora, który nazwano LunarWeb. Następnie wykryto podobny łańcuch zależności w przypadku LunarWeb wdrożonego w instytucji dyplomatycznej. Co ważne, atakujący dołączył również drugiego backdoora – nazwanego LunarMail – który wykorzystuje inną metodę do komunikacji z serwerem kontrolującym. Podczas innego ataku ESET zaobserwował jednoczesne wdrożenie łańcucha z LunarWeb w trzech instytucjach dyplomatycznych europejskiego kraju na Bliskim Wschodzie, które nastąpiło w ciągu kilku minut od siebie. Atakujący prawdopodobnie miał wcześniejszy dostęp do kontrolera domeny ministerstwa spraw zagranicznych i wykorzystał go, aby dostać się do maszyn powiązanych instytucji w tej samej sieci.

LunarWeb, wdrożony na serwerach zaatakowanych instytucji, wykorzystuje HTTP(S) do komunikacji z kontrolowanymi przez cyberprzestępców tzw. serwerami C&C (Command & Control), naśladując legalne żądania, podczas gdy LunarMail, wdrożony na stacjach roboczych, instaluje się jako dodatek do Outlooka i wykorzystuje wiadomości e-mail do komunikacji z serwerami C&C. Oba backdoory wykorzystują steganografię, technikę, w której polecenia są ukryte w obrazach, aby uniknąć wykrycia. Ich programy ładujące mogą występować w różnych formach, w tym jako trojanizowane oprogramowanie open-source, co pokazuje zaawansowane techniki stosowane przez atakujących.

Odzyskane w trakcie analizy komponenty służące do instalacji i aktywność atakującego sugerują, że początek ataku mógł nastąpić poprzez spearphishing i nadużycie źle skonfigurowanego oprogramowania Zabbix, służącego do monitorowania sieci i aplikacji. Co więcej, gdy atakujący miał już dostęp do sieci, wykorzystał skradzione dane uwierzytelniające i podjął ostrożne kroki w celu zaatakowania serwera bez wzbudzania podejrzeń. Badacze znaleźli także starszy złośliwy dokument Word, prawdopodobnie pochodzący z wiadomości e-mail typu spearphishing.

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.
Ostatnio dodane
komunikaty PR z wybranej przez Ciebie kategorii
IT i technologie Ailleron dołącza do stowarzyszenia leasingowego w Szwajcarii Biuro prasowe
2024-06-13 | 16:00

Ailleron dołącza do stowarzyszenia leasingowego w Szwajcarii

Polski lider w dziedzinie oprogramowania dla branży leasingowej Ailleron, notowany na głównym rynku GPW, rozpoczął współpracę ze Szwajcarskim Stowarzyszeniem Leasingowym
IT i technologie DROGA DO DIGITALIZACJI: TEAM ENERGIE WDRAŻA TECHNOLOGIĘ PANASONIC ESL
2024-06-13 | 15:00

DROGA DO DIGITALIZACJI: TEAM ENERGIE WDRAŻA TECHNOLOGIĘ PANASONIC ESL

Panasonic ogłasza podpisanie umowy ramowej z Team Energie w celu wdrożenia technologii ESL na 72 stacjach benzynowych w Niemczech. Niemiecka firma energetyczna Team Energie nawiązała
IT i technologie Innowacje technologiczne Panasonic Toughbook w usługach G.D
2024-06-13 | 14:00

Innowacje technologiczne Panasonic Toughbook w usługach G.D

G.D, czołowy włoski dostawca specjalizujący się w tworzeniu i dostarczaniu urządzeń produkcyjnych i pakujących, postanowił wykorzystać rozwiązania mobilne Panasonic w celu usprawnienia

Kalendarium

Więcej ważnych informacji

Jedynka Newserii

Jedynka Newserii

Farmacja

Finanse

Polska w światowej czołówce najchętniej wybieranych lokalizacji dla centrów usług wspólnych oraz ośrodków BPO. Generują one 4,5 proc. polskiego PKB

Sektor usług biznesowych jest jedną z wizytówek polskiej gospodarki i wciąż pozostaje bardzo konkurencyjny w globalnej skali – w Polsce działa już ponad 1,8 tys. centrów usług BPO, SSC/GBS, IT i R&D, a prognozowane zatrudnienie w sektorze w tym roku ma sięgnąć 465 tys. osób. Za ponad 80 proc. tych miejsc pracy odpowiadają inwestorzy zagraniczni, ale po usługi centrów usług biznesowych coraz chętniej sięgają również polskie firmy, które szukają oszczędności w dobie wysokich kosztów. Outsourcing procesów biznesowych pozwala im się skupić na strategicznych procesach i wyzwaniach, a przy tym zmniejszyć koszty nawet o ponad 20 proc.

Handel

Coraz więcej światowych zasobów ryb jest przełowionych. Nadmierne połowy dotyczą już blisko 38 proc. stad ryb na świecie

Według najnowszych danych ONZ FAO nadmierne połowy dotyczą 37,7 proc. wszystkich stad ryb i ten odsetek stale rośnie. W niektórych akwenach, takich jak Morze Śródziemne i Czarne, ponad 60 proc. stad jest przełowionych. Może to prowadzić nie tylko do degradacji ekosystemów morskich, ale także mieć poważne konsekwencje dla milionów ludzi na świecie. – Gdyby wszystkie stada na świecie były poławiane w  zrównoważony sposób, pozwoliłoby to wygenerować o 16 mln t więcej ryb i owoców morza rocznie, co z kolei przełożyłoby się na możliwość wyżywienia dodatkowych 72 mln ludzi – wskazuje Joanna Ornoch z organizacji pozarządowej MSC (Marine Stewardship Council).

Partner serwisu

Instytut Monitorowania Mediów

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.