ESET:in turvallisuustutkijat ovat julkaisseet tänään uutta tutkimustietoa tunnetusta Turla-kybervakoiluryhmästä, ja eritoten aiemmin dokumentoimattomasta haittaohjelmasta jota on käytetty maailmanlaajuisesti konsulaattien ja suurlähetystöjen vakoiluun.
ESET:in tutkijatiimi on ensimmäisenä maailmassa kuvaamassa edistynyttä haittaohjelmaa, jolle he ovat antaneet nimeksi ”Gazer”, vaikka on todisteita sen olemassaolosta jo vuodesta 2016: sitä on käytetty aktiivisesti kohdennetuissa hyökkäyksissä hallituksia ja diplomaatteja vastaan.
Gazer-haittaohjelman voittokulkua voidaan perustella sen kehittyneillä kohteiden vakoilumenetelmillään, sekä sen kykyä pysyä tarttuneena saastuneissa laitteissa, kätkeytyen näkyvistä uhrin koneessa ja samalla varastaen tietoa pitkän ajan kuluessa.
ESET:in tutkijat ovat havainneet että Gazer on onnistunut saastuttamaan maailmanlaajuisesti lukuisan määrän tietokoneita, suurimman osan uhreista sijaitessa euroopassa. ESET:in mukaan mielenkiintoiseksi Gazerin käytön lukuisissa erilaisissa vakoilukampanjoissa tekee sen kohdemaat: suurin osa hyökkäyskohteista on koillis-euroopassa ja ja entisen Neuvostoliiton maissa.
Hyökkäykset kantavat kaikkia Turla-hakkerijoukon menneiden hyökkäysaaltojen tunnusmerkkejä:
- Kohdeorganisaatiot ovat suurlähetystöjä ja ministeriöitä
- Sähköpostien kautta leviävät huijausviestit toimivat suorina pääsyreitteinä, esim Skipper
- Sen jälkeen järeämpi (toisen asteen) haittaohjelma asentuu kohteeseen, tässä tapauksessa Gazer mutta menneinä esimerkkeinä Carbon ja Kazuar
- Toisen asteen haittaohjelma vastaanottaa kryptattuja ohjeita tekijäjoukolta C&C-palvelimoien kautta, käyttäen laillisia mutta vaarantuneita/haavoittuneita nettisivuja välityspalveliminaan
Toinen huomattava samanlaisuus Gazerin ja Turla-hakkeriryhmän menneillä luomuksilla tuli päivänvaloon kun haittaohjelmaa analysoitiin: Gazer pyrkii huomattavilla lisätoimilla välttämään huomatuksi tulemisen vaihtamalla rivejä koodissa, markkereita satunnaistamalla ja tyhjentämällä tiedostoja suojassa.
Tuoreimmassa ESET:in tutkimusryhmän Gazer-esimerkissä oli huomattavissa että joku oli muokannut suurta osaa koodikielessä, ja asettanut koodiin lauseita koskien videopelejä.
Turla-hakkeriryhmä käyttää keinoissaan myös humoristisia ilmauksia, mutta niiden ei pidä antaa hämätä: tietoliikennerikollisten kohteeksi joutuminen ei ole naurun asia.
Kaikkien organisaatioiden (olkoon kyseessä hallitus, diplomaattinen instanssi, laki ja poliisi tai perinteinen liiketoiminta) tulisi ottaa nykypäivän hienostuneet tietoturvauhkat vakavasti ja omaksua kerroksittain tapahtuvan suojauksen merkityksen IT-toimissaan.
Lisätietoa Gazer-haittaohjelmasta ESET:in tutkimuspaperista ”Turla’s new second stage backdoor”
Tietoja ESETistä
ESET® on jo 30 vuoden ajan kehittänyt alan johtavia tietoturvaohjelmia ja -palveluja yrityksille ja kuluttajille maailmanlaajuisesti. ESETin suorituskykyisten ja helppokäyttöisten tuotteiden ansiosta ratkaisut, jotka ulottuvat pääte- ja mobiililaitteiden turvallisuudesta salaukseen ja kaksiosaiseen todentamiseen (2FA), antavat kuluttajille ja yrityksille mielenrauhan, jotta he voivat hyödyntää täysin teknologiansa mahdollisuuksia. ESET suojaa ja valvoo huomaamatta 24/7 ja päivittää suojaukset reaaliaikaisesti, jotta käyttäjät olisivat turvassa ja yritykset pysyisivät toiminnassa keskeytyksettä. Uudet uhkat vaativat kehittyvän tietoturvayhtiön. Maailmanlaajuisesti toimivien T&K-keskusten tukema ESET oli ensimmäinen tietoturvayhtiö, joka sai 100 Virus Bulletin VB100 -palkinnon tunnistamalla kaikki yksittäiset “villit” haittaohjelmat keskeytyksettä vuodesta 2003 lähtien. Lisätietoja saat käymällä osoitteessa www.eset.com tai seuraamalla meitä LinkedInissä, Facebookissa ja Twitterissä.
© Koodiviidakko Oy - Y-tunnus 1939962-1