0
De Turla hacken van de groep is gericht op geheime ambassades met een nieuwe backdoor.
Beeld: iStock
Een beruchte cyber spionage en het hacken van de operatie wordt met behulp van een nieuw instrument om te spioneren op ambassades en consulaten in Europa, volgens een cyber security-onderzoekers.
Nagesynchroniseerde Gezer, de malware kan de groep om te spioneren op de geïnfecteerde Windows-systemen en maakt voorzichtig inspanning ter dekking van zijn tracks door het wissen van bestanden veilig van besmette systemen.
Het werd ontdekt door onderzoekers van beveiligingsbedrijf ESET, die geloven dat de tool is gebruikt sinds 2016 en is zeer waarschijnlijk het werk van Turla, een bekende vooraf aanhoudende dreiging van de groep. Onderzoekers ontdekt de spionage campagne bij het analyseren van een nieuwe malware steekproef die tentoongesteld overeenkomsten met andere Turla code geanalyseerd in het verleden.
De groep staat bekend om het doel van de overheid en diplomatieke organisaties – vooral in Europa – met een combinatie van een gieter gat aanvallen en spear-phishing campagnes te infiltreren slachtoffers.
Gezer deelt een aantal overeenkomsten met de vorige Turla malware, zoals wordt geschreven in C++ en het gebruiken van de levering van een eerste fase backdoor – vaak geïnstalleerd op een andere machine op het netwerk – vóór het schrappen van de laatste, veel stealthier lading.
Deze tweede fase van de achterdeur ontvangt instructies van Turla de command en control servers die gebruikt worden aangetast, legitieme websites als een proxy. De backdoor maakt ook gebruik van virtual file system in het register van Windows te omzeilen antivirus verdediging.
Het exacte aantal slachtoffers aangetast door Gezer op deze manier is nog niet geopenbaard, noch over de specifieke targets zijn bekend – maar de onderzoekers zeggen dat het aantal waarnemingen gering is, misschien omdat de aanvallers proberen meestal alleen compromis specifieke systemen.
“De tactieken, technieken en procedures hebben we hier te zien zijn in de regel wat we meestal zien in Turla ‘s activiteiten”, zei Jean-Ian Boutin, Senior Malware Researcher bij ESET. “Turla gaan tot het uiterste om te voorkomen dat gedetecteerd op een systeem.”
De mensen achter Gezer gebruik maken van hun eigen aangepaste cryptografie om te verdoezelen dat de backdoors’ acties en communicatie met een command and control-server. Dit type van activiteit punten te Turla een zeer geavanceerde groep – de werking is eerder al gekoppeld aan de russische regering.
LEES MEER OVER CYBERCRIMINALITEIT
Cyberoorlog: Het smart person ‘ s guide [TechRepublic] Oude Maanlicht Doolhof backdoor remerges als modern APT Hackers zijn nu met behulp van de exploit achter WannaCry snoop op hotel Wi-Fi Heeft Rusland de verkiezing van hacking breken internationaal recht? Zelfs de experts niet zeker dat de Nieuwe Mac-malware gekoppeld aan de russische hackers van ONS verkiezing [CNET]
0