ESET odhalil útok skupiny Turla na ministerstvo zahraničních věcí členské země EU, pro kyberšpionáž byl zneužit Dropbox

Pro cílený útok byl použit program Crutch. Ukradená data byla ukládána na Dropbox. Nejednalo se o Českou republiku.

Praha, 7. prosince 2020 – Analytici společnosti ESET objevili doposud nezdokumentovaný špionážní malware určený k ovládání zařízení a krádeži dokumentů. Program nazvaný Crutch je experty připsán nechvalně známé skupině hackerů Turla. Používal se od roku 2015 až do začátku letošního roku. Společnost ESET detekovala  Crutch v síti ministerstva zahraničních věcí v zemi Evropské unie, což naznačuje, že tato rodina malwaru je používána při cílených útocích. Crutch byl navržený k exfiltraci citlivých dokumentů a dalších souborů na účty v úložišti Dropbox ovládané operátory skupiny Turla.

„Hlavní škodlivou činností je exfiltrace dokumentů a dalších citlivých souborů. Sofistikovanost útoků a technické detaily nás utvrzují v tom, že skupina Turla má značné prostředky na provozování tak velkého a rozmanitého arzenálu,“ popisuje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET. „Crutch je navíc schopen obejít některé vrstvy zabezpečení tím, že zneužije legitimní infrastrukturu – v tomto případě Dropbox – aby mohl splynout s běžným síťovým provozem, a přitom exfiltrovat odcizené dokumenty a přijímat příkazy od operátorů. “

Útoky probíhaly pravděpodobně z východní Evropy

Při zkoumání malware se analytici pokoušejí také zjistit maximum o útočnících. Mimo jiné, odkud útočí, nejčastěji se to určuje podle pracovní doby operátorů.

Výzkumníci proto zjišťovali speciálně ty hodiny, kdy útočníci nahrávali soubory ZIP na účty v úložišti Dropbox. Celkově shromáždili 506 různých časových razítek v rozmezí od října 2018 do července 2019. Toto množství dat by mělo eliminovat časy, kdy byly aktivní jen zařízení obětí. Z nasbíraných údajů plyne, že provozovatelé pravděpodobně budou pracovat v časovém pásmu UTC + 3 (tedy v regionu východní Evropy či Blízkého východu).

Chart, histogram

Description automatically generated
Pracovní doba operátorů Crutch na základě nahrávání dat do Dropbox 

Výzkum společnosti ESET dokázal identifikovat silné vazby mezi malwarem, který stahuje Crutch, z roku 2016 a Gazerem, tedy typem malware, který Turla používala v letech 2016 až 2017.

Turla je aktivní kybernetickou špionážní skupinou operující více než 10 let. Dokázala kompromitovat řadu vlád, obzvláště diplomatických subjektů, po celém světě. Skupina využívá rozsáhlý arzenál různých typů malware. ESET soustavně dokumentuje její aktivity. (Jmenovitě lze uvést například malware Gazer, Mosquito, Light Neuron.)

Další technické podrobnosti o tom, jak Turla Crutch útočí a shromažďuje citlivé informace, najdete v článku „Turla Crutch: Keeping the ‚back door‘ open“ na WeLiveSecurity.com.

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Ten drží rekordní počet ocenění a díky jejím technologiím může více než miliarda uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy, včetně mobilních, a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích. 

ESET dlouhodobě investuje do vývoje. Jen v České republice nalezneme tři vývojová centra, a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.

Označeno tagem