Sprzymierzona z Rosją grupa Turla mogła namierzać i szpiegować dyplomatów
Linkleaders
Piotrkowska 148/150
90-631 Łódź
patrycja.kaleta|linkleaders.pl| |patrycja.kaleta|linkleaders.pl
505 223 994
https://www.linkleaders.pl/
Analitycy ds. cyberbezpieczeństwa ESET zdemaskowali mechanizm cyberszpiegowski, wymierzony w europejskie ministerstwa spraw zagranicznych i misje dyplomatyczne za granicą, głównie na Bliskim Wschodzie. – Te narzędzia są używane od co najmniej 2020 roku, a biorąc pod uwagę podobieństwa do wcześniejszych akcji, działania można prawdopodobnie przypisać niesławnej, powiązanej z Rosją grupie cyberszpiegowskiej Turla – uważają badacze ESET.
Analitycy odkryli nieznane wcześniej backdoory (a więc konie trojańskie, dające dostęp do zaatakowanych systemów), które nazwano LunarWeb i LunarMail. Zostały one wykorzystane do ataku na europejskie placówki dyplomatyczne, a planując działania, cyberprzestępcy posłużyli się także m.in. zaawansowaną techniką ukrywania poleceń w obrazach. LunarWeb zbierał i wydobywał informacje z systemu, takie jak informacje o komputerze i systemie operacyjnym, listę uruchomionych procesów, listę usług i listę zainstalowanych produktów zabezpieczających. Natomiast LunarMail przy pierwszym uruchomieniu zbierał adresy e-mail odbiorców z wysłanych przez użytkownika wiadomości e-mail.
– Atak był miejscami bardzo wyrafinowany technicznie, ale pod innymi aspektami wręcz przeciwnie. Na przykład staranna instalacja na zaatakowanym serwerze w celu uniknięcia skanowania przez oprogramowanie zabezpieczające, kontrastowała z błędami w kodowaniu i różnymi stylami kodowania backdoorów. Najprawdopodobniej zatem, w rozwój i działanie tych narzędzi zaangażowanych było wiele różnych osób – mówi Filip Jurčacko, badacz ESET, który odkrył zestaw narzędzi Lunar.
Eksperci przypisują atak powiązanej z Rosją grupie Turla. Ta cyberprzestępcza grupa znana również jako Snake, jest aktywna od co najmniej 2004 roku, a być może nawet od późnych lat 90-tych. Uważana za część rosyjskiej FSB, Turla atakuje głównie podmioty o wysokim profilu, takie jak rządy i organizacje dyplomatyczne w Europie, Azji Środkowej i na Bliskim Wschodzie. Grupa jest znana z włamań do największych organizacji, w tym Departamentu Obrony USA w 2008 roku i szwajcarskiej firmy RUAG w 2014 roku.
Szczegóły mechanizmu
Dochodzenie rozpoczęło się od wykrycia tzw. loadera (złośliwego kodu stosowanego w celu zaaplikowania końcowego złośliwego oprogramowania), wdrożonego na niezidentyfikowanym serwerze, który odszyfrowuje i ładuje zawartość z pliku. Doprowadziło to badaczy ESET do odkrycia nieznanego wcześniej backdoora, który nazwano LunarWeb. Następnie wykryto podobny łańcuch zależności w przypadku LunarWeb wdrożonego w instytucji dyplomatycznej. Co ważne, atakujący dołączył również drugiego backdoora – nazwanego LunarMail – który wykorzystuje inną metodę do komunikacji z serwerem kontrolującym. Podczas innego ataku ESET zaobserwował jednoczesne wdrożenie łańcucha z LunarWeb w trzech instytucjach dyplomatycznych europejskiego kraju na Bliskim Wschodzie, które nastąpiło w ciągu kilku minut od siebie. Atakujący prawdopodobnie miał wcześniejszy dostęp do kontrolera domeny ministerstwa spraw zagranicznych i wykorzystał go, aby dostać się do maszyn powiązanych instytucji w tej samej sieci.
LunarWeb, wdrożony na serwerach zaatakowanych instytucji, wykorzystuje HTTP(S) do komunikacji z kontrolowanymi przez cyberprzestępców tzw. serwerami C&C (Command & Control), naśladując legalne żądania, podczas gdy LunarMail, wdrożony na stacjach roboczych, instaluje się jako dodatek do Outlooka i wykorzystuje wiadomości e-mail do komunikacji z serwerami C&C. Oba backdoory wykorzystują steganografię, technikę, w której polecenia są ukryte w obrazach, aby uniknąć wykrycia. Ich programy ładujące mogą występować w różnych formach, w tym jako trojanizowane oprogramowanie open-source, co pokazuje zaawansowane techniki stosowane przez atakujących.
Odzyskane w trakcie analizy komponenty służące do instalacji i aktywność atakującego sugerują, że początek ataku mógł nastąpić poprzez spearphishing i nadużycie źle skonfigurowanego oprogramowania Zabbix, służącego do monitorowania sieci i aplikacji. Co więcej, gdy atakujący miał już dostęp do sieci, wykorzystał skradzione dane uwierzytelniające i podjął ostrożne kroki w celu zaatakowania serwera bez wzbudzania podejrzeń. Badacze znaleźli także starszy złośliwy dokument Word, prawdopodobnie pochodzący z wiadomości e-mail typu spearphishing.

Polski biznes nie jest przygotowany na cyberzagrożenia

Cyberbezpieczeństwo dla firm – skuteczne rozwiązania iIT Distribution Polska

Emitel Partnerem Technologicznym Impact’25
Więcej ważnych informacji
Jedynka Newserii

Jedynka Newserii

Handel

Polskie MŚP otrzymają większe wsparcie w ekspansji międzynarodowej. To cel nowej inicjatywy sześciu instytucji
Firmy z sektora małych i średnich przedsiębiorstw otrzymają kompleksowe wsparcie na potrzeby zwiększania konkurencyjności na arenie międzynarodowej. Taki jest cel wspólnej inicjatywy instytucji zrzeszonych w Grupie PFR pod szyldem Team Poland. Obejmuje ona zarówno wsparcie kapitałowe, w postaci gwarancji, pożyczek czy ubezpieczenia, jak i doradztwo oraz wsparcie promocyjne i informacyjne, dzięki czemu mikro-, małym i średnim firmom łatwiej będzie podjąć decyzję o ekspansji zagranicznej. Pierwszy projekt dotyczy wsparcia dla firm zainteresowanych uczestnictwem w odbudowie Ukrainy.
Bankowość
RPP zgodna co do potrzeby obniżania stóp procentowych. Trwają dyskusje dotyczące tempa tych decyzji

W lipcu Rada Polityki Pieniężnej po raz drugi w tym roku obniżyła stopy procentowe, określając swój ruch mianem dostosowania. W kolejnych miesiącach można oczekiwać kolejnych obniżek, ale ich tempo i termin będą zależeć od efektów dotychczasowych decyzji i wzrostu płac. Docelowo główna stopa procentowa ma wynosić 3,5 proc. Te okoliczności sprzyjają kredytobiorcom.
Handel
Umowa z krajami Mercosur coraz bliżej. W. Buda: Polska nie wykorzystała swojej prezydencji do jej zablokowania

– Polska podczas prezydencji w Radzie UE nie wykorzystała szansy na obronę swoich interesów w sprawie umowy z krajami Mercosur – ocenia europoseł PiS Waldemar Buda. W jego ocenie polski rząd, mimo sprzeciwu wobec zapisów umowy, nie zbudował w UE sojuszy niezbędnych do jej odrzucenia. Porozumienie o wolnym handlu spotyka się przede wszystkim z protestami europejskich rolników, którzy obawiają się zalania wspólnego rynku tańszą żywnością z krajów Ameryki Południowej. Według europosła wszystko może się rozegrać w najbliższych tygodniach.
Partner serwisu
Szkolenia

Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.