Νέο backdoor σε επιθέσεις εναντίον ΗΠΑ και Αφγανιστάν

On

Σεπ 21, 2021

Η ομάδα hacking Turla, επέστρεψε με νέα εργαλεία, που χρησιμοποιήθηκαν πρόσφατα σε

επιθέσεις

εναντίον των ΗΠΑ, της Γερμανίας και του Αφγανιστάν.

turla - Νέο backdoor σε επιθέσεις εναντίον ΗΠΑ και Αφγανιστάν

Δείτε επίσης:

Η ρωσική

hacking ομάδα

Turla παραβίασε ευρωπαϊκό κυβερνητικό οργανισμό

Την Τρίτη, η

Cisco Talos

είπε ότι η ομάδα, ρωσικής προέλευσης, έχει αναπτύξει ένα νέο backdoor για επιμονή και μυστικότητα.

Με την ονομασία TinyTurla, το άγνωστο στο παρελθόν backdoor είναι απλό στο σχεδιασμό αλλά κατάλληλο για συγκεκριμένους σκοπούς, όπως η ρίψη ωφέλιμου φορτίου και η αποφυγή του εντοπισμού, εάν το κύριο κακόβουλο λογισμικό της Turla απομακρυνθεί από ένα παραβιασμένο μηχάνημα.

Η Turla, που είναι ενεργή από το 2004, γνωστή και ως

Snake

and

Uroburos

, είναι μια περίπλοκη

επιχείρηση

με μια μεγάλη λίστα θυμάτων υψηλού προφίλ στο χαρτοφυλάκιό της. Προηγούμενοι στόχοι της περιλαμβάνουν το

Πεντάγωνο

, κυβερνητικές και διπλωματικές

υπηρεσίες

, στρατιωτικές μονάδες, ερευνητικά ιδρύματα και άλλα σε τουλάχιστον 45 χώρες.

Τώρα, φαίνεται ότι η APT χτυπά τις ΗΠΑ, τη

Γερμανία

και το Αφγανιστάν, το τελευταίο από τα οποία στοχοποιήθηκε πριν από την κατάληψη της χώρας από τους Ταλιμπάν και την αποχώρηση των δυτικών στρατιωτικών δυνάμεων.

Δείτε ακόμα:

Turla: χρησιμοποιεί δορυφόρους για απόλυτο επίπεδο ανωνυμίας

Η Talos λέει ότι πιθανότατα το κακόβουλο λογισμικό χρησιμοποιήθηκε σε προσπάθειες παραβίασης των συστημάτων της προηγούμενης κυβέρνησης.

XBO4RF5GPRASPMMECYFEGQR5Z4 - Νέο backdoor σε επιθέσεις εναντίον ΗΠΑ και Αφγανιστάν

Ένα δείγμα που αποκτήθηκε από την ομάδα αποκάλυψε ότι το backdoor, σχηματίζεται ως .DLL, και εγκαταστάθηκε ως υπηρεσία σε μηχάνημα Windows. Το αρχείο ονομάζεται w64time.dll και καθώς υπάρχει ένα νόμιμο Windows w32time.dll, ενδέχεται να μην φαίνεται αμέσως κακόβουλο.

Με την ονομασία “

Windows Time Service

“, το backdoor συνδέεται με ένα διακομιστή εντολών και ελέγχου (C2) που ελέγχεται από την Turla και επικοινωνεί με το σύστημα μέσω κρυπτογραφημένου καναλιού HTTPS κάθε πέντε δευτερόλεπτα, προκειμένου να ελέγχεται για τυχόν νέες εντολές ή οδηγίες.

Το TinyTurla είναι σε θέση να ανεβάζει και να εκτελεί αρχεία και ωφέλιμα φορτία, να δημιουργεί υποεπεξεργασίες και να φιλτράρει

δεδομένα

. Η λειτουργικότητα και ο κώδικα του backdoor είναι επίτηδες απλοϊκή, για να αποτρέψει την

ανίχνευση

ως κακόβουλου λογισμικού.

Δείτε επίσης:

Κινέζοι χάκερς

ανέπτυσσαν επί 3 χρόνια backdoor για να κατασκοπεύσουν

κυβερνήσεις

Σύμφωνα με την Talos, το backdoor χρησιμοποιείται τουλάχιστον από το 2020.

Πρόσφατα, οι ερευνητές της Kaspersky διαπίστωσαν επικαλύψεις κώδικα μεταξύ της Turla, της DarkHalo/UNC2452 APT, του Sunburst backdoor και του Kazuar backdoor. Παρόλο που υπάρχουν κοινά

χαρακτηριστικά

μεταξύ Sunburst και Kazuar, δεν είναι δυνατόν να συναχθεί με βεβαιότητα οποιαδήποτε συγκεκριμένη σχέση μεταξύ των ομάδων απειλών και αυτών των εργαλείων.

Πηγή SecNews.gr