ESET upptäcker ny avancerad bakdörr som används av Turla

EN nyligen dokumenterad bakdörr vid namn Gazer har identifierats som det senaste verktyget för spionkampanjer runt om i Europa. 

ESET, det ledande globala internetsäkerhetsföretaget publicerar idag upptäckten av en ny, avancerad bakdörr som används av den notoriska hackergruppen Turla. ESETs forskare är de första som dokumenterar denna nya bakdörr som varit en attackvektor sedan 2016 och som har europeiska institutioner som måltavla. Den har fått namnet Gazer.

Typiska tillvägagångssätt för Turla

Med målet satt på europeiska myndigheter och ambassader runt om i världen i många år har Turla gjort sig kända genom att använda vattenhåls- (att infektera betrodda webbplatser som måltavlor kan tänkas besöka)  och spjutfiskekampanjer (riktad phising mot specifika individer, ofta med individuell touch) för att närma sig sina mål.

ESETs forskare har sett Gazer, den nyligen dokumenterade bakdörren, aktiverad på en mängd datorer runt om i världen, företrädesvis i Europa.

“Taktiken, tekniken och procedurerna vi ser här är alla i linje med Turlas normala tillvägagångssätt” säger Jean-Ian Boutin, Senior Malware Researcher hos ESET. “En första bakdörr som Skipper, troligen introducerad genom spjutfiske, följs upp med att systemet ytterligare komprometteras i ett andra steg i form av en mer avancerad bakdörr, i detta fall Gazer.”

Hitta det osynliga

I likhet med andra-steget-bakdörrar som Turla använt tidigare, såsom Carbon och Kazuar får Gazer instruktioner i krypterad form från en command & control-server som kan exekveras på en redan infekterad maskin eller på en annan maskin på nätverket.

Gazers skapare nyttjar sin egen version av krypto, med egna 3DES och RSA-bibliotek. RSA-nycklarna som hittats i filerna innehåller den publika serverns nyckel som attackeraren kontrollerar och en privat nyckel.

Nycklarna är unika för varje instans och används för att kryptera och avkryptera data som sänds och mottas från command & control-servern. Vidare, har de notoriska brottslingarna i Turla använt sig av virtuella filsystem i  Windows-registret för att undvika upptäckt av Antivirusskydd och för att kunna fortsätta drabba de infekterade systemen.

“Turla anstränger sig ordentligt för att inte hittas i ett infekterat system” fortsätter Boutin. "Gruppen raderar filer från de infekterade systemet, ändrar strängar och texter i olika versioner. I det senaste fallet har Gazers skapare använt texter från spel såsom “Only single player is allowed”. Att ESETs forskarteam lyckats hitta denna nya, tidigare odokumenterad bakdörr är ett steg i rätt riktning för att tackla det växande problemet med cyberspionage i dagens digitala värld.

För att få reda på fler tekniska detaljer om Turlas nya bakdörr, läs blogginlägget eller ladda ner rapporten här eller via WeLiveSecurity.com.