Den Turla Hackere er en berømt kriminel kollektiv, der er kendt for at udføre komplekse angreb mod store virksomheder og offentlige institutioner. Sikkerhedseksperter har opdaget, at de er ansvarlige for en storstilet løbende hacking kampagne mod ambassader og konsulater hovedsageligt i Europa ved hjælp af avancerede netværk manipulation teknikker.
De tidlige advarselstegn: Turla Hackere mistænkt for A Dangerous Attack
Computer sikkerhed forskere blev alarmeret af en kombineret hacking angreb. Den grundige analyse viser, at det kollektive er sandsynligvis den sandsynlige årsag som en meget kompleks infektion kæde anvendes mod høj-profilerede mål. De fleste er beregnet ofre diplomater primært baseret i Europa. Operatørerne har brugt modificerede kopier af Adobe Flash Player for at installere en farlig bagdør kaldet Myg hvilket skyldes gruppen. I løbet af malware er initialiseringen det forbinder til kommando og kontrol-servere, der tidligere var forbundet med Turla gruppe i tidligere kampagner.
Adfærden analyse også matcher underskrifter fra andre malware familier, der tilskrives den Turla hacking gruppe. Dette omfatter ikke kun lignende proces udførelse sekvens, men også avancerede komponenter såsom strengen formørkelse og API opløsning komponent. Dette konkluderer, at hackere fortsætter deres forsøg på indtrængen mod højt profilerede mål igen.
De Turla Hackere Ansæt Network Manipulation og Adobes servere Under Infektion
De Turla hackere har skabt forfalskede kopier af Adobe Flash Player, som ikke er så meget anderledes end nogle af deres tidligere kampagner. Men i stedet for at bruge velkendte taktik som e-mails (med eller uden social engineering teknikker) og falske download sites, malware filer synes at være hentet direkte fra Adobe-servere. Som et resultat intrusion detection tjenester og brugernes administratorer kan blive narret til at tillade installationen at fortsætte.
Efter yderligere inspektion blev det opdaget, at hackere ikke brugt værten felt manipulation teknik. De kriminelle manipulere dette felt til at pege på en hacker-kontrolleret server. Men under den tilbundsgående analyse blev det afsløret, at dette ikke var tilfældet, og malware filer faktisk synes at være tilgængelig fra Adobes servere. Sikkerheden team på virksomheden dog konstatere, at der ikke er konstateret indbrud.
Der er flere mulige forklaringer, der er under overvejelse:
- Rogue DNS-server - De IP-adresser reagerer på de reelle servere, der bruges af Adobe så dette forslag blev hurtigt kasseret.
- Man-in-the-middle (MITM) Angreb - De Turla hackere kan udnytte en kompromitteret maskine fundet på nettet af de tilsigtede ofre. Ved hjælp af en ARP spoofing teknik de kriminelle kan manipulere trafikken i realtid og omdirigere den til andre farlige værter. Under den tilbundsgående undersøgelse af de igangværende angreb blev påvist nogen sådanne værktøjer i koden og adfærdsmønstre. Hvis denne metode benyttes derefter skal have fundet sted en infektion før den egentlige kampagne lancering.
- Hacket Gateway Device - I dette tilfælde de kriminelle trænge ind på gateway-enheder (routere, proxy-servere og netværk switches) der påvirker et stort antal ofre. Sådanne angreb giver Turla evnen til at gennemgå og ind- og udgående trafik mellem det lokale netværk og internettet.
- ISP Level Intrusion - På samme måde Turla gruppe kan ændre Indbryd på serverne i de Internet-udbydere selv (internetudbydere). De fleste af målene er placeret i tidligere USSR-lande og de bruger mindst fire forskellige udbydere. Dette scenarie ville være sandsynligt, hvis hackere har evnen til at overvåge netværkstrafikken i forskellige lande på samme tid.
- BGP Kapring - Den sidste mulige scenarie er en BGP kapring angreb. Dette kan gøres ved hjælp af et selvstændigt system til at annoncere et præfiks, der hører til Adobes hjemmeside. Dette ville give netværkstrafik at blive dirigeret til hacker-kontrollerede steder. Den berørte gruppe ville være brugere, der er placeret i nærheden af de farlige steder. Men dette er højst usandsynligt, da der er mange tjenester, der konstant overvåger for sådanne malware praksis.
Effektivt ethvert netværk misbrug kan resultere det malware infektioner med vilkårlige nyttelast. Den igangværende angreb kampagne ser ud til at det meste føre til en infektion med en farlig bagdør kendt som Myg.
Et alternativ adfærd er også blevet observeret, hvor Adobe Flash installationsprogrammet leverer to separate JavaScript-baserede bagdør i stedet for Mosquito malware. De er placeret i et system mappe bruges af Microsoft og kaldes google_update_chcker.js og local_update_checker.js.
Den første instans indlæser en web-applikation hostes på Google Apps Script. Ansøgningen indgives på en sådan måde, at den forventer en base-64 kodede svar. Når den nødvendige kommando sendes tilbage indholdet afkodes ved hjælp af en indbygget funktion. Det formodes, at det er formålet er at hente yderligere trusler til maskinen. I andre tilfælde kan det bruges til at udføre vilkårlige kommandoer samt. Koden Analysen viser, at ligesom Mosquito kan den installeres som en vedvarende trussel ved at tilføje en værdi i registreringsdatabasen.
Den anden JavaScript malware læser indholdet af en fil i et system mappe og udfører dens indhold. Sådanne vira er faldet sammen med deres tilhørende konfigurationsfiler. De er ekstremt farligt, da deres adfærd kan ændres afhængigt af den enkelte inficerede vært. Det kan tilføje en værdi i registreringsdatabasen for at opnå en vedvarende tilstand af udførelse.
Mosquito Backdoor er den Turla Hackere Våben
Den dybtgående analyse af de primære nyttelast anvendes af Turla gruppe er en bagdør kaldet Myg. Analytikerne bemærke, at dette er en opdateret af en en ældre trussel, der har været anvendt siden 2009. Det er forklædt som en Adobe Flash Player installationsprogram og kan narre de fleste computerbrugere, da det indeholder legitime underskrifter fra Adobe. Selve ondsindede kode er stærkt korrumperet (skjult) hjælp af en brugerdefineret kryptering mekanisme. Når malware nyttelast er blevet indsat den følger en foruddefineret adfærdsmønster.
Ved infektion Mosquito bagdør dekrypterer selv og falder to filer til systemmapper. Analytikerne bemærker, at Turla indbefatter en stealth beskyttelse teknik at søgende for strenge, der er forbundet med sikkerhedssoftware. I fremtidige versioner kan det også bruges mod andre værktøjer såsom virtuelle maskiner, sandkasser og debugging miljøer. Mosquito malware provenu ved at oprette et vedvarende tilstand af udførelse via en køre nøgle i registreringsdatabasen eller COM kapring. Dette følges af en Registry Windows modifikation. Som et resultat af farlig kode udføres, hver gang computeren startes.
en informationsindsamling fase følger. Den malware har evnen til at udtrække følsomme oplysninger om systemet og sende den til hackere via en Adobe-domæne. Nogle af eksemplet data omfatter et entydigt ID for prøven, brugernavnet på offeret brugere eller netværkets ARP-tabellen.
For at narre ofrene til at tro, at det er en legitim installatør en reel Adobe Flash opsætning instans er downloadet og henrettet. To kilder er fundet identificeret i de erobrede prøver - Adobes egen downloads server og en Google Drev link.
Før den vigtigste bagdøren eksekveres opsætningen opretter en særskilt administrativ konto kaldet HelpAssistant eller HelpAsistant have adgangskoden “sysQ!123”. Systemværdien LocalAccountTokenFilterPolicy er sat til 1 (Rigtigt) der tillader ekstern administration. Sikkerhedseksperterne afslører, at dette kan anvendes i forbindelse med fjernadgang operationer foretaget af de kriminelle.
Den Turla Hackere Opfindelse - Capabilities af Mosquito Backdoor
Den vigtigste bagdør kode bruger krypterede Windows registreringsdatabasen værdier ved hjælp af en brugerdefineret algoritme til konfiguration selv. De Turla hackere har bundtet en omfattende logfil forfatter. Analytikerne bemærke, at det skriver et tidsstempel for hver post i logfilen. Dette er meget usædvanligt for en bagdør som denne og er sandsynligvis brugt af gerningsmændene at gense de infektioner.
Ligesom andre lignende bagdøre det sluttes til en hacker-kontrol kommando og kontrol (C&C) server at rapportere eventuelle computer interaktion. Dette gøres over en tilfældig mængde tid, en teknik, der undviger heuristiske-baserede scanninger. De hackere kan bruge den til at sende vilkårlige kommandoer og forårsage yderligere skade på de inficerede værter. Brugeren-agent er sat til at fremstå som Google Chrome (udgave 41).
En liste over foruddefinerede instruktioner til lettere programmering er bundtet i bagdør. Listen omfatter følgende poster:
- Hent og Udfør en fil.
- proces Launch.
- Fil Slet.
- Fil udsivning.
- Gem data til Registry.
- Kør kommando og Send Udgang til C&C-servere.
- Tilføj en C&C URL Server.
- Slet en C&C URL Server.
Løbende Turla Hackere Attack: Hvordan til at imødegå dem
I øjeblikket Mosquito bagdør er stadig i gang, og som sikkerhed undersøgelser fortsat opsøge oprindelsen af de farlige indtrængen antallet af potentielle mål fortsætter med at stige. Den Turla kriminelle kollektiv er almindeligt kendt for at være i stand til at bryde ind i højt profilerede mål, mange af deres ofre er statslige institutioner eller store internationale virksomheder. De sociale engineering angreb er bemærkelsesværdige for deres kompleksitet, analytikeren også bemærke, at de avancerede netværksrelaterede angreb er nøje planlagt for at undgå alle manerer af analyse og intrusion detection.
Som underskrifterne er kendt tilgængelige for offentligheden vi råde computere brugere at scanne deres systemer for eventuelle malware infektioner.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunters
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: