Le Turla Les pirates informatiques sont un célèbre collectif criminel qui sont largement connus pour l'exécution d'attaques complexes contre les grandes entreprises et les institutions gouvernementales. Les experts en sécurité ont détecté qu'ils sont responsables d'une grande campagne de piratage informatique en cours contre les ambassades et consulats principalement en Europe en utilisant des techniques de manipulation de réseau avancées.
Les signes d'alerte précoce: Turla pirates informatiques présumés d'une attaque dangereuse
les chercheurs en sécurité informatique ont été alertés d'une attaque de piratage combinée. L'analyse approfondie montre que le collectif est probablement le coupable probable une chaîne d'infection très complexe est utilisé contre des cibles de haut niveau. La majorité des victimes sont des diplomates destinés principalement basés en Europe. Les opérateurs ont utilisé des copies modifiées de Adobe Flash Player pour installer une porte dérobée dangereuse appelée Moustique qui est attribué au groupe. Lors de l'initialisation du malware, il se connecte aux serveurs de commande et de contrôle qui étaient auparavant associés au groupe Turla dans les campagnes précédentes.
L'analyse du comportement correspond également aux signatures d'autres familles de logiciels malveillants qui sont attribués au groupe de piratage Turla. Cela comprend non seulement la séquence d'exécution de processus semblable, mais aussi des composants avancés tels que l'obscurcissement de chaîne et de la composante de la résolution de l'API. Ceci conclut que les pirates continuent à nouveau leurs tentatives d'intrusion contre des cibles de haut profil.
Les pirates informatiques Turla de serveurs Employer des manipulations réseau et Adobe Au cours de l'infection
Les pirates Turla ont créé des copies contrefaites de Adobe Flash Player qui n'est pas tellement différent que certains de leurs campagnes précédentes. Cependant, au lieu d'utiliser des tactiques familiers comme les messages électroniques (avec ou sans techniques d'ingénierie sociale) et sites de téléchargement contrefaits, les fichiers malveillants semblent être téléchargés directement sur les serveurs Adobe. En conséquence les services de détection d'intrusion et les administrateurs d'utilisateurs peuvent être induits en erreur, permettant l'installation de continuer.
Après vérification, il a été découvert que les pirates ne sont pas utilisé le champ hôte technique de manipulation. Les criminels manipulent ce domaine pour pointer vers un serveur contrôlé hacker. Cependant lors de l'analyse approfondie, il a été révélé que ce ne fut pas le cas et les fichiers malveillants semblent en effet être disponibles sur les serveurs d'Adobe. L'équipe de sécurité de l'entreprise soutiennent néanmoins qu'aucune intrusion n'a été détectée.
Il y a plusieurs explications possibles qui sont à l'étude:
- Serveur DNS Rogue - Les adresses IP ne répondent aux véritables serveurs utilisés par Adobe si cette suggestion a été rapidement mis au rebut.
- L'homme au milieu (MitM) Attaque - Les pirates Turla peuvent utiliser une machine compromis trouvé sur le réseau des victimes visées. En utilisant une technique d'usurpation d'adresse ARP les criminels peuvent manipuler le trafic en temps réel et la rediriger vers d'autres hôtes dangereux. Au cours de l'enquête approfondie des attaques en cours pas ces outils ont été détectés dans le code et les modèles de comportement. Si cette méthode est utilisée alors une infection doit avoir été faite avant le lancement de la campagne réelle.
- Dispositif de passerelle piraté - Dans ce cas, les criminels sur empiètent dispositifs de passerelle (routeurs, les serveurs proxy et les commutateurs de réseau) qui ont un impact un grand nombre de victimes. De telles attaques donnent Turla la possibilité d'examiner et de trafic entrant et sortant entre le réseau local et Internet.
- ISP Niveau d'intrusion - De la même manière le groupe Turla peut modifier Intrusion sur les serveurs des fournisseurs de services Internet eux-mêmes (FAI). La plupart des cibles sont situés dans les anciens pays de l'URSS et ils utilisent au moins quatre fournisseurs différents. Ce scénario serait probable si les pirates ont la possibilité de surveiller le trafic réseau dans différents pays en même temps.
- BGE Détournement - Le dernier scénario possible est une attaque de détournement d'avion BGE. Cela peut être fait en utilisant un système autonome d'annoncer un préfixe qui appartient au site Adobe. Cela permettrait le trafic réseau à être acheminé vers des sites contrôlés hacker. Le groupe serait affecté aux utilisateurs qui sont situés près des endroits dangereux. Cependant, cela est très peu probable car il existe de nombreux services qui surveillent en permanence de telles pratiques de logiciels malveillants.
En effet tout abus réseau peut entraîner il infections de logiciels malveillants avec des charges utiles arbitraires. La campagne d'attaque en cours semble conduire la plupart du temps à une infection par une porte dérobée dangereuse connue sous le nom Moustique.
Un autre comportement a également été observé lorsque le programme d'installation d'Adobe Flash offre deux porte dérobée sur la base JAVASCRIPT-séparés au lieu du malware Mosquito. Ils sont placés dans un dossier système utilisé par Microsoft et sont appelés google_update_chcker.js et local_update_checker.js.
La première instance charge une application web hébergé sur Google Apps Script. L'application est faite de telle manière qu'elle attend une réponse codée en base 64. Une fois la commande nécessaire est renvoyé le contenu est décodé à l'aide d'une fonction intégrée. Il est présumé que son but est de télécharger des menaces supplémentaires à la machine. Dans d'autres cas, il peut être utilisé pour exécuter des commandes arbitraires ainsi. L'analyse de code montre que, comme les moustiques, il peut être installé comme une menace persistante en ajoutant une valeur de registre.
Le second malware JavaScript lit le contenu d'un fichier situé dans un dossier système et exécute son contenu. De tels virus sont déposés en même temps que leurs fichiers de configuration associés. Ils sont extrêmement dangereux que leur comportement peut être modifié en fonction de chaque hôte infecté. Il peut ajouter une valeur de Registre afin de parvenir à un état persistant d'exécution.
Le Backdoor Mosquito est l'arme Turla Les pirates informatiques
L'analyse approfondie de la charge utile principale utilisée par le groupe Turla est une porte dérobée appelée Moustique. Les analystes notent que c'est une version actualisée d'une menace plus qui a été utilisé depuis 2009. Il est déguisé en Adobe Flash Player d'installation et peut tromper la plupart des utilisateurs d'ordinateurs, car il contient des signatures légitimes d'Adobe. Le code malveillant réel est fortement brouillées (caché) en utilisant un mécanisme de cryptage personnalisé. Une fois la charge utile des logiciels malveillants a été déployée il suit un modèle de comportement prédéfini.
Lors de l'infection la porte dérobée Mosquito se déchiffre et laisse tomber deux fichiers dans des dossiers du système. Les analystes notent que Turla comprend une technique de protection furtive que les chercheurs pour les chaînes qui sont associés à des logiciels de sécurité. Dans les versions futures, il peut également être utilisé contre d'autres outils tels que machines virtuelles, sandboxes et environnements de débogage. Le produit des logiciels malveillants Mosquito par la mise en place d'un état persistant d'exécution via une clé de registre d'exécution ou COM détournement d'avion. Ceci est également suivi d'un Registre de Windows modification. En conséquence le code dangereux est exécuté à chaque fois que l'ordinateur est démarré.
Un la collecte d'informations fait suite à la phase. Le malware a la capacité d'extraire des informations sensibles sur le système et l'envoyer aux pirates via un domaine Adobe. Une partie des données d'exemple comprend l'identifiant unique de l'échantillon, le nom d'utilisateur des utilisateurs de la victime ou la table ARP du réseau.
Afin de tromper les victimes en leur faisant croire que son installateur légitime une véritable instance d'installation d'Adobe Flash est téléchargé et exécuté. Deux sources ont été trouvées identifiées dans les échantillons capturés - propre serveur de téléchargement d'Adobe et un lien Google Drive.
Avant le code principal de porte dérobée est exécuté le processus d'installation crée un compte administratif distinct appelé HelpAssistant ou HelpAsistant ayant le mot de passe “sysQ!123”. La valeur du système LocalAccountTokenFilterPolicy est réglé sur 1 (Vrai) qui permet l'administration à distance. Les experts de sécurité révèlent que cela peut être utilisé conjointement avec des opérations d'accès à distance faites par les criminels.
L'invention Turla Les pirates informatiques - Capacités de Backdoor Mosquito
Le principal code de porte dérobée utilise les valeurs de registre Windows cryptées en utilisant un algorithme personnalisé pour lui-même la configuration. Les pirates ont Turla fourni un écrivain fichier journal complet. Les analystes notent qu'il écrit un horodatage pour chaque entrée du journal. Ceci est très inhabituel pour une porte dérobée comme celui-ci et est probablement utilisé par les auteurs de retracer les infections.
Comme d'autres backdoors similaires, il se connecte à une commande pirate-commande et de contrôle (C&C) serveur pour signaler toutes les interactions informatiques. Cela se fait sur un laps de temps aléatoire, une technique qui soustrait les analyses heuristiques. Les pirates peuvent l'utiliser pour envoyer des commandes arbitraires et causer des dommages aux hôtes infectés. L'agent utilisateur est défini pour apparaître comme Google Chrome (version 41).
Une liste d'instructions prédéfinies pour faciliter la programmation est empaqueté dans la porte dérobée. La liste comprend les entrées suivantes:
- Télécharger et exécuter un fichier.
- procédé de lancement.
- Supprimer fichier.
- Exfiltration Fichier.
- Stocker des données au Registre.
- Exécuter la commande et la sortie Envoyer à C&C Serveurs.
- Ajouter un C&URL C Server.
- Supprimer un C&URL C Server.
En cours Turla piratent: Comment les contrer
En ce moment, la porte dérobée Mosquito est toujours en cours et que les enquêtes de sécurité continuent de rechercher les origines des intrusions dangereuses, le nombre de cibles potentielles continue d'augmenter. Le collectif criminel Turla est largement connu pour être en mesure de pénétrer dans des cibles de haut niveau, bon nombre de leurs victimes sont des institutions gouvernementales ou de grandes entreprises internationales. Les attaques d'ingénierie sociale sont remarquables par leur complexité, l'analyste Notez également que les attaques liées au réseau avancées sont soigneusement planifiés pour éviter toutes les manières d'analyse et de détection d'intrusion.
Comme les signatures sont connues à la disposition du grand public, nous conseillons aux utilisateurs d'ordinateurs pour analyser leurs systèmes pour toutes les infections de logiciels malveillants.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunters