Výskumníci bezpečnostnej spoločnosti ESET objavili doteraz neznámy škodlivý kód, ktorý kradne dokumenty a je využívaný na kyberšpionáž. ESET dokázal tento program, svojimi tvorcami pomenovaný Crutch, priradiť k neslávne známej kyberskupine Turla. Tá medzi svoje obete radí množstvo vládnych a diplomatických cieľov v rozličných krajinách.

Škodlivý kód bol používaný od roku 2015 minimálne do začiatku roka 2020. ESET videl Crutch v sieti ministerstva zahraničných vecí členskej krajiny Európskej únie, čo naznačuje, že táto rodina škodlivého kódu je využívaná len voči veľmi špecifickým cieľom. Tieto nástroje boli vytvorené na kradnutie citlivých dokumentov a iných súborov na cloudové Dropbox účty kontrolované kyberskupinou. Dropbox je online služba určená na ukladanie a zdieľanie súborov.

“Hlavnou škodlivou činnosťou je kradnutie dokumentov a iných citlivých súborov. Vyspelosť útokov a technické detaily tohto objavu naďalej posilňujú dojem, že skupina Turla má prístup k výrazným zdrojom, vďaka ktorým dokáže pracovať s tak veľkým a rozmanitým arzenálom,” hovorí Matthieu Faou, výskumník spoločnosti ESET, ktorý skúma aktivity skupiny Turla. „Okrem toho, Crutch sa dokáže dostať do siete zneužitím legitímnej infraštruktúry – v tomto prípade Dropboxu. Obchádza tak bezpečnostné vrstvy, aby mohol kradnúť údaje a získavať príkazy od svojich operátorov,“ dodáva Faou.

Pri skúmaní útoku na ministerstvo zahraničných vecí objavili výskumníci ESETu ZIP súbory nahrané na Dropbox účet útočníkov. Tieto súbory obsahovali príkazy pre škodlivý kód, ktoré do Dropboxu nahrali samotní útočníci. Prostredníctvom týchto príkazov mohli na diaľku riadiť a kontrolovať to, čo škodlivý kód na zariadeniach svojich obetí robil.

Pracovný čas operátorov skupiny odhadnutý na základe nahraní súborov do Dropboxu:

Aby si ESET spravil hrubý obraz o pracovnom čase operátorov tejto skupiny, analytici exportovali tie časy, v ktorých skupina nahrávala ZIP súbory do svojich Dropbox účtov. Na to výskumníci zozbierali 506 odlišných časových záznamov pochádzajúcich z dátumov od októbra 2018 po júl 2019. Toto mohlo ukázať, kedy pracovali operátori skupiny a nie kedy boli aktívne zariadenia obetí. Na základe týchto údajov sa ESET domnieva, že operátori pracujú v časovej zóne UTC+3.

Výskumníci ESETu dokázali identifikovať veľmi silné prepojenia medzi škodlivým kódom, ktorý zariadenia obetí infikuje samotným Crutchom a škodlivým kódom Gazer, ktorý skupina Turla využívala v rokoch 2016-2017. Ten sa zameriaval na krajiny juhovýchodnej Európy a krajiny bývalého Sovietskeho zväzu.

Turla je aktívnou kyberskupinou a pracuje už viac než 10 rokov. Dokázala napadnúť mnoho vládnych agentúr, obzvlášť diplomatické inštitúcie, na celom svete. ESET sa analýze jej aktivít dlhodobo venuje.

Značky: