Badacze bezpieczeństwa ostrzegają, że jedna z najbardziej zaawansowanych rosyjskich grup hakerskich dodała do swojego arsenału kilka nowych narzędzi stealth. Chociaż grupa Turla nadal korzysta z wersji 4 złośliwego oprogramowania ComRAT, badacze ESET zauważyli, że od tego czasu zostało ono zaktualizowane i zawiera dwie nowe funkcje: eksfiltrację dzienników antywirusowych ofiary oraz możliwość kontrolowania złośliwego oprogramowania za pośrednictwem skrzynki odbiorczej Gmaila. Według firmy ESET dzienniki programu antywirusowego są kradzione przez złośliwe oprogramowanie, a następnie pobierane na jeden z jego serwerów dowodzenia i kontroli. Ustalono, że złośliwe oprogramowanie zostało rozmieszczone w styczniu, a jego celem były parlamenty i ministerstwa spraw zagranicznych trzech anonimowych rządów europejskich.
Złośliwe oprogramowanie Turla
Kolejną nowością jest mechanizm kontroli Gmaila, w ramach którego szkodliwe oprogramowanie wysyła żądanie do przeglądarki ofiary, ładuje predefiniowany plik cookie i loguje się do internetowego panelu sterowania Gmaila. Po wykonaniu tej czynności operatorzy Turla mogą po prostu wysłać wiadomość e-mail na konto Gmail z instrukcjami w załączniku. Złośliwe oprogramowanie ComRAT odczyta wiadomość e-mail, pobierze załącznik, przeczyta i wykona zawarte w niej instrukcje. Wszystkie zebrane w ten sposób dane zostaną przesłane z powrotem do skrzynki odbiorczej Gmaila, a tym samym do operatorów. Badacz firmy ESET, Matthieu Faou, powiedział ZDNet, że gromadzenie dzienników programów antywirusowych mogłoby „pomóc im w lepszym zrozumieniu, czy i które z próbek złośliwego oprogramowania zostały wykryte”. Ogólnie rzecz biorąc, trudno jest określić, które pliki zostały „wyodrębnione” przez atakujących, stwierdził Faou, dodając, że w przypadku stosunkowo zaawansowanych grup „nierzadko próbuje się zrozumieć, czy zostały one wykryte. Pozostawiają po sobie ślady lub nie.”- Zachowaj ochronę w Internecie dzięki naszym najlepszym wyborom najlepszego oprogramowania antywirusowego