Elitarna grupa rosyjskich hakerów odpowiada za kampanię cyberszpiegowską wymierzoną w instytucje państwowe krajów Europy Wschodniej. Podczas działań cyberprzestępcy wykorzystali innowacyjne rozwiązania, które zostały opracowane specjalnie na potrzeby tej operacji.
Najnowsza wykryta kampania obrazuje charakter działalności Turla, czyli elitarnej rosyjskiej grupy cyberszpiegowskiej, która istnieje od ponad dekady. W środowisku jest dobrze znana z zaawansowanych niestandardowych narzędzi hakerskich i zdolności do prowadzenia ściśle ukierunkowanych operacji – czytamy w raporcie „From Agent.btz to Comarat v4” firmy ESET.
Specjaliści wskazują, że hakerzy wchodzący w skład grupy Turla działają na zlecenie FSB. Wykryta operacja jest przykładem umiejętności cyberprzestępców, którzy potrafią zaprojektować złośliwe oprogramowanie, mogące latami „czyhać” w systemach ofiary i wykradać poufne informacje – donosi serwis CyberScoop.
Jak wskazują specjaliści firmy ESET operacja rozpoczęła się około dwa lata temu a cyberataki były wymierzone w trzy strategiczne placówki – jeden z parlamentów na terenie Kaukazu i dwa ministerstwa spraw zagranicznych państw położonych w Europie Wschodniej. Nazwy konkretnych państw nie zostały ujawnione ze względu na bezpieczeństwo.
Wspomniane placówki to kolejne podmioty państwowe wysokiej rangi, które znalazły się na liście ofiar grupy Turla – informuje ZDNet. Wykorzystując złośliwe oprogramowanie, cyberprzestępcy usunęli część plików PDF i Word z kliku komputerów. Nie jest jasne, jakie informacje zostały przez te instytucje utracone – wskazuje CyberScoop.
Aby podnieść skuteczność działań, hakerzy podczas kampanii użyli adresu Gmail (w celu zwiększenia wiarygodności) do rozsyłania złośliwych wiadomości. „Kod jest właściwie bardzo specyficzny dla Gmaila i nie widzieliśmy żadnej innej wersji ComRAT, która mogłaby korzystać z innego dostawcy poczty e-mail” – czytamy w raporcie ESET.
Najnowsza wersja ComRAT v4 po raz pierwszy pojawiła się w 2017 roku. Jednak w raporcie specjaliści ESET wskazali, że istnieje pewna odmiana tego złośliwego oprogramowania, która zawiera dwie nieznane dotąd funkcje. Pierwszą jest możliwość kontrolowania ComRAT v4 za pomocą skrzynki Gmail, z kolei drugą zdolność do infiltracji oprogramowania antywirusowego.
Wirus przejmuje jedną z przeglądarek ofiary, ładuje specjalnie spreparowany plik cookie, a następnie inicjuje sesję na pulpicie nawigacyjnym Gmaila. Tutaj złośliwe oprogramowanie odczytuje ostatnie wiadomości e-mail ze skrzynki odbiorczej, skąd pobiera załączniki, a następnie odczytuje instrukcję zawartą w plikach wysłanych przez samych hakerów. Mówiąc prościej – ilekroć cyberprzestępcy chcą „wydawać nowe polecenia” oprogramowaniu ComRAT v4 zamieszczonym na urządzeniu ofiary, wystarczy, że wyślą wiadomość e-mail na adres Gmaila. Wszystkie dane zebrane po wykonaniu instrukcji wysłanej w ten sposób są odsyłane do skrzynki odbiorczej Gmaila i przekierowywane z powrotem do operatorów Turla.
Matthieu Faou tłumaczy, że również druga funkcja jest bardzo istotna, ponieważ pozwala hakerom „lepiej zrozumieć, czy i która z próbek złośliwego oprogramowania została wykryta”. Wówczas cyberprzestępcy będą mogli odpowiednio dostosować swoje działania, aby kontynuować operację niepostrzeżenie.
Złośliwe oprogramowanie ComRAT, znane również jako Agent.BTZ, jest jedną z najstarszych broni Turli. Było ono wykorzystywane do przechwytywania danych z sieci Pentagonu już w 2008 roku. Na przestrzeni lat narzędzie regularnie aktualizowano, aby spełniało wymogi „współczesnego świata” – informuje ZDNet.
Pierwsze kampanie wymierzone w instytucje państwowe przypisywane grupie miały miejsce w połowie 2008 roku, kiedy to rosyjscy hakerzy uderzyli w Pentagon. Następnie złośliwe działania były kontynuowane przez lata w Europie, Azji, Afryce czy na Bliskim Wschodzie.
„Turla wciąż aktywnie opracowuje złożone i niestandardowe elementy złośliwego oprogramowania, aby utrzymać długotrwałą obecność w sieci swojego celu” – zaznaczył Matthieu Faou, specjalista firmy ESET.