Výskumníci bezpečnostnej spoločnosti ESET objavili doteraz neznámy škodlivý kód, ktorý kradne dokumenty a je využívaný na kyberšpionáž. ESET tento program, svojimi tvorcami pomenovaný Crutch, priradil k neslávne známej kyberskupine Turla.
Škodlivý kód bol používaný od roku 2015 minimálne do začiatku tohto roka. ESET spozoroval Crutch v sieti ministerstva zahraničných vecí členskej krajiny Európskej únie, čo naznačuje, že táto rodina škodlivého kódu je využívaná len voči veľmi špecifickým cieľom.
Tieto nástroje boli vytvorené na kradnutie citlivých dokumentov a iných súborov na cloudové Dropbox účty kontrolované kyberskupinou. Dropbox je online služba určená na ukladanie a zdieľanie súborov.
Matthieu Faou, výskumník spoločnosti ESET, ktorý skúma aktivity skupiny Turla, podotýka, že Crutch sa dokáže dostať do siete zneužitím legitímnej infraštruktúry a obísť tak bezpečnostné opatrenia operátorov služeb.
Vyspelosť útokov a technické detaily tohto objavu naďalej posilňujú dojem, že skupina Turla má prístup k výrazným zdrojom, vďaka ktorým dokáže pracovať s tak veľkým a rozmanitým arzenálom.
Pri skúmaní útoku na ministerstvo zahraničných vecí objavili výskumníci ESETu ZIP súbory, ktoré obsahovali príkazy pre škodlivý kód. Do Dropboxu ich nahrali samotní útočníci.
Prostredníctvom týchto príkazov mohli na diaľku riadiť a kontrolovať to, čo škodlivý kód na zariadeniach svojich obetí robil.
Pracovný čas operátorov skupiny odhadnutý na základe nahraní súborov do Dropboxu / Zdroj: ESET
Aby si ESET spravil hrubý obraz o pracovnom čase operátorov tejto skupiny, analytici exportovali tie časy, v ktorých skupina nahrávala ZIP súbory do svojich Dropbox účtov.
Na to výskumníci zozbierali 506 odlišných časových záznamov pochádzajúcich z dátumov od októbra 2018 po júl 2019. Toto mohlo ukázať, kedy pracovali operátori skupiny a nie kedy boli aktívne zariadenia obetí.
Na základe týchto údajov sa ESET domnieva, že operátori pracujú v časovej zóne UTC+3.
Výskumníci ESETu dokázali identifikovať veľmi silné prepojenia medzi škodlivým kódom, ktorý zariadenia obetí infikuje samotným Crutchom a škodlivým kódom Gazer, ktorý skupina Turla využívala v rokoch 2016-2017. Ten sa zameriaval na krajiny juhovýchodnej Európy a krajiny bývalého Sovietskeho zväzu.
Turla je aktívnou kyberskupinou a pracuje už viac než 10 rokov. Dokázala napadnúť mnoho vládnych agentúr, obzvlášť diplomatické inštitúcie, na celom svete.
ESET, Michael Andruch