מחקר: רוסיה תקפה דיפלומטים אירופיים, בעיקר במזה"ת

קבוצת התקיפה Turla, המזוהה עם רוסיה, עוקבת אחר דיפלומטים אירופיים ותוקפת אותם, כך לפי מחקר חדש של ESET.

החוקרים גילו שתי דלתות אחוריות שלא היו מוכרות עד כה – LunarWeb ו-LunarMail, אשר שימשו לפריצה למשרד יחסי חוץ אירופי ולצוותים הדיפלומטיים שלו ברחבי העולם, בעיקר במזרח התיכון.

החוקרים מאמינים כי מערך הכלים Lunar נמצא בשימוש מ-2020 לפחות, ועל בסיס קווי דמיון בטקטיקות, הטכניקות, התהליכים והפעולות הקודמות, החוקרים משייכים את הפריצות האלה "במידת ביטחון בינונית" לקבוצת ריגול הסייבר הידועה לשמצה Turla, שמזוהה עם רוסיה. מטרת הקמפיין הזה, ציינו, היא ריגול סייבר.

חוקרי ESET החלו בזיהוי של תוכנת טעינה שהועלתה לשרת לא מזוהה, שמצפין ומפענח קבצי הפעלה בתוך ומתוך קבצים אחרים. כך הם חשפו דלת אחורית שלא הייתה מוכרת עד כה, וכונתה LunarWeb. לאחר מכן זוהתה שרשרת דומה ונחשפה הדבקה ב-LunarWeb אצל צוות דיפלומטי. התוקף השתיל דלת אחורית נוספת, בשם LunarMail, שמשתמשת בשיטה אחרת להעברת תקשורת שליטה ובקרה. במהלך מתקפה אחרת, החוקרים זיהו הדבקות מקבילות ב-LunarWeb בשלושה צוותים דיפלומטיים של מדינה אירופית שפועלים במזרח התיכון, כשהתקיפות היו במרווח של דקות בודדות בין תקיפה לתקיפה. "סביר להניח שלתוקף כבר הייתה גישה ל-Domain Controller של אותו משרד יחסי חוץ, ושהוא השתמש בו כדי לנוע הצידה, למחשבים אחרים של גופים הקשורים למשרד יחסי החוץ ומחוברים לאותה הרשת", העריכו החוקרים.

הדלת האחורית LunarWeb, שמוטמעת בשרתים, משתמשת בפרוטוקול HTTP(S) לתקשורת, שליטה ובקרה תוך התחזות לבקשות לגיטימיות, בזמן ש-LunarMail, שמוטמעת בתחנות עבודה, פועלת כתוסף ל-Outlook ומשתמשת בהודעות דוא״ל לתקשורת, שליטה ובקרה. שתי הדלתות האחוריות משתמשות בסטגנוגרפיה, טכניקה בה פקודות מוסתרות בקבצי תמונה כדי למנוע את זיהוין. קבצי הטעינה שלהן יכולים להתקיים בצורות שונות, כמו למשל תוכנות קוד-פתוח המודבקות בסוס-טרויאני, מה שממחיש את הטכניקות המתקדמות שבהן משתמשים התוקפים.

"זיהינו רמות שונות של מורכבות בפריצות השונות, כמו ההתקנה הקפדנית על השרת שנפרץ כדי להימנע מזיהוי של תוכנות אבטחה, ומהצד השני שגיאות בכתיבת קוד וסגנונות שונים של כתיבת קוד בדלתות האחוריות. זה מצביע על כך שייתכן שאנשים נפרדים היו מעורבים בפיתוח והפעלת הכלים הללו", הסביר פיליפ יורצ׳אקו, חוקר ESET שגילה את Lunar, "מרכיבים שונים של תוכנות ההתקנה ופעולות של התוקף שהצלחנו לשחזר, מצביעים על כך שייתכן שהפריצה הראשונית קרתה באמצעות קמפיין פישינג ממוקד (Spearphishing, דיוג חנית) וניצול של הגדרות שגויות של הרשת ושל תוכנת ניטור האפליקציות Zabbix".

"לתוקף כבר הייתה גישה לרשת; הוא השתמש בסיסמאות גנובות כדי לנוע בתוך הרשת ונקט בצעדים זהירים כדי להשיג גישה לשרת מבלי לעורר חשד", ציינו החוקרים והוסיפו כי בפריצה אחרת, הם איתרו מסמך Word זדוני ישן, שסביר להניח ששימש כחלק מקמפיין פישינג ממוקד.

הדלת האחורית LunarWeb אוספת ומדליפה מידע מהמערכת, כמו מידע על המחשב ומערכת ההפעלה, רשימת התהליכים הפועלים בו, רשימת שירותי Windows שמוגדרים בו ורשימה של מוצרי אבטחה המותקנים בו. LunarWeb תומכת בפעולות סטנדרטיות של דלתות אחוריות, כמו פעולות בקבצים ובתהליכים והפעלת פקודות Shell.

קבוצת Turla, המוכרת גם בשמות Iron Hunter , Pensive Ursa, Secret Blizzard, Snake, Uroburos, Venomous Bear, פעילה החל מ-2004 לפחות, וייתכן שהחלה לפעול כבר בסוף שנות ה-90'. הקבוצה היא חלק ממנגנון ה-FSB הרוסי, וממקדת את מתקפותיה לישויות בפרופיל גבוה כמו ממשלות וארגונים דיפלומטיים באירופה, מרכז אסיה והמזרח התיכון. הקבוצה ידועה בפריצה לארגונים משמעותיים, כמו משרד ההגנה האמריקאי בשנת 2008 וחברת ההגנה השוויצרית RUAG בשנת 2014.