Analitycy ds. cyberbezpieczeństwa ESET ujawnili mechanizm cyberszpiegowski skierowany przeciwko europejskim ministerstwom spraw zagranicznych i misjom dyplomatycznym za granicą, głównie na Bliskim Wschodzie. – Te narzędzia są używane od co najmniej 2020 roku, a biorąc pod uwagę podobieństwa do wcześniejszych akcji, działania można prawdopodobnie przypisać niesławnej, powiązanej z Rosją grupie cyberszpiegowskiej Turla – twierdzą badacze ESET.

Analitycy odkryli nieznane wcześniej backdoory, czyli konie trojańskie dające dostęp do zaatakowanych systemów, które nazwano LunarWeb i LunarMail. Zostały one wykorzystane do ataku na europejskie placówki dyplomatyczne, używając m.in. zaawansowanej techniki ukrywania poleceń w obrazach. LunarWeb zbierał i wydobywał informacje z systemu, takie jak dane o komputerze, systemie operacyjnym, uruchomionych procesach, usługach i zainstalowanych produktach zabezpieczających. LunarMail natomiast, przy pierwszym uruchomieniu, zbierał adresy e-mail z wiadomości wysyłanych przez użytkownika.

– Atak był miejscami bardzo wyrafinowany technicznie, ale w niektórych aspektach wręcz przeciwnie. Na przykład staranna instalacja na zaatakowanym serwerze w celu uniknięcia skanowania przez oprogramowanie zabezpieczające, kontrastowała z błędami w kodowaniu i różnymi stylami kodowania backdoorów. Najprawdopodobniej zatem, w rozwój i działanie tych narzędzi zaangażowanych było wiele różnych osób – mówi Filip Jurčacko, badacz ESET, który odkrył zestaw narzędzi Lunar.

Eksperci przypisują atak powiązanej z Rosją grupie Turla. Grupa ta, znana także jako Snake, działa co najmniej od 2004 roku, a być może nawet od późnych lat 90-tych i jest uważana za część Federalnej Służb Bezpieczeństwa Federacji Rosyjskiej, Turla atakuje głównie podmioty o wysokim profilu, takie jak rządy i organizacje dyplomatyczne w Europie, Azji Środkowej i na Bliskim Wschodzie. Grupa jest znana z włamań do największych organizacji, w tym Departamentu Obrony USA w 2008 roku i szwajcarskiej firmy RUAG w 2014 roku.

 

Szczegóły mechanizmu

Dochodzenie rozpoczęło się od wykrycia loadera – złośliwego kodu stosowanego do wdrażania ostatecznego złośliwego oprogramowania – wdrożonego na niezidentyfikowanym serwerze, który odszyfrowuje i ładuje zawartość z pliku. Doprowadziło to badaczy ESET do odkrycia nieznanego wcześniej backdoora, nazwanego LunarWeb. Następnie wykryto podobny łańcuch zależności w przypadku LunarWeb wdrożonego w instytucji dyplomatycznej. Co ważne, atakujący dołączył także drugiego backdoora – nazwanego LunarMail – który wykorzystywał inną metodę komunikacji z serwerem kontrolującym. ESET zaobserwował jednoczesne wdrożenie łańcucha z LunarWeb w trzech instytucjach dyplomatycznych europejskiego kraju na Bliskim Wschodzie, w ciągu kilku minut od siebie. Atakujący prawdopodobnie miał wcześniejszy dostęp do kontrolera domeny ministerstwa spraw zagranicznych i wykorzystał go do infiltracji maszyn powiązanych instytucji w tej samej sieci.

LunarWeb, wdrożony na serwerach zaatakowanych instytucji, wykorzystuje HTTP(S) do komunikacji z kontrolowanymi przez cyberprzestępców serwerami C&C (Command & Control), naśladując legalne żądania, podczas gdy LunarMail, wdrożony na stacjach roboczych, instaluje się jako dodatek do Outlooka i używa wiadomości e-mail do komunikacji z serwerami C&C. Oba backdoory wykorzystują steganografię – technikę ukrywania poleceń w obrazach, aby uniknąć wykrycia. Ich programy ładujące mogą przybierać różne formy, w tym jako trojanizowane oprogramowanie open-source, co pokazuje zaawansowane techniki stosowane przez atakujących.

Odzyskane w trakcie analizy komponenty instalacyjne oraz aktywność atakującego sugerują, że początek ataku mógł nastąpić przez spearphishing i nadużycie źle skonfigurowanego oprogramowania Zabbix, służącego do monitorowania sieci i aplikacji. Po uzyskaniu dostępu do sieci, atakujący wykorzystali skradzione dane uwierzytelniające i podjęli ostrożne kroki w celu zaatakowania serwera bez wzbudzania podejrzeń. Badacze znaleźli także starszy złośliwy dokument Word, prawdopodobnie pochodzący z wiadomości e-mail typu spearphishing.

źródło: informacja prasowa
grafiki przygotowane przez ChatGPT