ESETi turvalisuse teadlased avaldasid täna kurikuulsa Turla küberspionaaži grupi kohta uut informatsiooni, mis sisaldas eelkõige infot varasemalt dokumenteerimata tagaukse kohta, mida on ülemaailmselt kasutatud konsulaatide ja saatkondade järel luuramiseks.

 

Hoolimata tõenditest, et seda keerukat pahavara tagaust on sihipäraselt rakendatud valitsuste ja diplomaatide vastu vähemalt alates 2016. aastast, on ESETi uurimismeeskond maailmas esimene, kes seda dokumenteeris.

Samad teadlased nimetasid selle tagaukse Gazeriks ning usuvad, et selle edu peitub enda sihtmärkide peal kasutatavatel täiustatud meetoditel ning selle võimes end nakatunud seadmetes pikka aega märkamatult varjata, et seeläbi pika aja vältel informatsiooni varastada.

ESETi teadlased avastasid, et Gazer on terves maailmas mitmeid arvuteid nakatanud ning et enamus neist asuvad Euroopas. Huvitaval kombel on ESET mitmeid Gazerit kasutavaid spionaažikampaaniaid uurides leidnud, et selle peamiseks sihtmärgiks tunduvad olevat olnud Kagu-Euroopa kui ka endised Nõukogude Liidu riigid.

Rünnakutel on kõik Turla häkkeritegrupi poolt käivitatud varasemate kampaaniate tunnused, nagu näiteks:

  • sihialusteks organisatsioonideks on saatkonnad ja ministeeriumid;
  • suunatud andmepüügikampaania paigaldab esimese astme tagaukse, näiteks Skipperi;
  • seejärel paigaldatakse teine salajane tagauks (käesoleval juhul Gazer, kuid varasemate näidete hulka kuuluvad Carbon ja Kazuar);
  • teise astme tagauks võtab grupilt juhiseid, mida saadetakse C&C serveri kaudu kasutades kompromiteeritud, kuid seaduslikke lehti proksina.

 

„ESETI UURIJAD ON AVASTANUD, ET GAZER ON SUUTNUD ÜLE KOGU MAAILMA MITMEID ARVUTEID NAKATADA“

 

Pahavara analüüsimisel tuli ilmsiks ka teine tähelepanuväärne sarnasus Gazeri ja varasemate Turla küberspionaaži loomingute vahel. Gazer teeb avastamise vältimiseks täiendavaid jõupingutusi: muudab koodis olevaid stringe, juhuslikustab markereid ja eemaldab faile turvaliselt.

ESETi uurimisrühm leidis kindlaid tõendeid, et hiliseimas Gazeri tagaukse pahavara näidises oli keegi enamikud selle stringid ära muutnud ja kogu koodi ulatuses videomänge puudutavaid fraase sisestanud.

Gazeri loojad näivad olevat videomängude fännid

Ärge laske häkkeritegrupi huumorisoonel ennast petta, sest küberkriminaalide teele sattumine ei ole naljaasi.

Kõik diplomaatilised institutsioonid, valitsus- ja õiguskaitseorganisatsioonid ning ka traditsioonilised ettevõtted peavaksid tänapäevastesse keerulistesse ohtudesse tõsiselt suhtuma ja võtma kasutusele mitmetasandilise kaitsesüsteemi, et turvarikkumiste võimalust vähendada.

Lugege Gazeri kohta ESETi uurimistööst „Vaade Gazerile: Turla uus teise tasandi tagauks“.

Allikas: Welivesecurity