Új backdoor programot fedezett fel az ESET
2017.08.31
Új, a Turla hackercsoport által használt fejlett backdoor programot fedezett fel az ESET. A Gazer nevû programmal 2016 óta támadják az európai intézményeket, elsõsorban nagykövetségeket és konzulátusokat, illetve az ott dolgozó diplomatákat.

Az évek óta európai kormányokat és nagykövetségeket célzó Turla kémcsoport watering hole és adathalász akciókkal támadja áldozatait. Az ESET kutatói néhány fertõzött géptõl eltekintve leginkább Európában találkoztak az újonnan dokumentált Gazer kártevõvel, amelynek segítségével fejlett módszerekkel kémkednek az áldozatok után.

„A taktika, a technika és a támadásnál alkalmazott folyamatok teljesen beleillenek a Turla akcióinak sorába” – mondta Jean-Ian Boutin, az ESET kártevõkutatója. „Az elsõ fázisban alkalmazott, adathalász módszerekkel célba juttatott backdoor programot (pl. Skipper), egy második fázisú hátsó kapu program követi, ebben az esetben a Gazer.”

Az észlelhetetlen észlelése

Ahogy más hasonló program, a Turla által alkalmazott második fázisú hátsóajtó (backdoor) program – mint korábban a Carbon vagy a Kazuar –, a Gazer is kódolt utasításokat kap a támadók távoli vezérlõ szerverérõl (C&C, command-and-control), amelyek tetszõlegesen futtathatóak a már fertõzött számítógépen, vagy akár a hálózaton lévõ más gépeken.

A Gazer alkotói kiterjedten használják egyedi titkosításukat is, saját 3DES vagy RSA könyvtárat alkalmazva. A forrásokban beágyazott RSA kulcs tartalmazza a nyilvános szerver támadók általi kulcsvezérlõjét és egy privát kulcsot. Ezek a kulcsok minden egyes mintában egyediek, és a C&C szervernek elküldött, vagy onnan fogadott adatok titkosítására és dekódolására használják õket. A Turla csoport virtuális fájlrendszereket is alkalmaz a Windows registry kulcsokban, hogy megkerülje az antivírus programokat és tovább támadhassa a rendszert. 

„A Turla ügyesen kerüli el az észlelést” – folytatta a szakember. „A kártevõ készítõi elõször is fájlokat törölnek a feltört rendszerbõl, majd megváltoztatják a karakterláncot és a backdoor programok segítségével randomizálják az általuk felhasznált marquee (HTML) elemeket. Ebben a legújabb esetben, a Gazer írói megváltoztatták a sima marquee elemeket és videójátékokból emeltek be olyan sorokat, mint a „Csak egy játékos engedélyezett”. Az ESET szakembereinek felfedezése ezekkel az egyedi, korábban még nem dokumentált hátsó ajtó programokkal kapcsolatban komoly lépés a megoldás irányába a kiberkémkedések egyre nagyobb problémát jelentõ világában.

A Turla kártevõrõl bõvebben a welivesecurity.com oldalon olvashat, ahol a teljes ismertetõ is letölthetõ