Škodlivý kód zneužívá falešnou instalaci Adobe Flash Player

Kybernetická skupina Turla se snaží získávat citlivé informace z ambasád a konzulátů ve východoevropských zemích prostřednictvím sledovacího malware, jehož součásti ESET detekuje jako Win32/Turla.CP a Win32/Turla.

K útoku je zneužívána legitimní instalace přehrávače Adobe Flash Player z internetových stránek společnosti Adobe, spolu s kterou si oběť stáhne i sledovací malware. K samotné infikaci legitimních aplikací Adobe nedošlo.

Kromě škodlivého kódu si oběť na svoje zařízení nainstaluje také funkční Flash Player. Společnost ESET zároveň vylučuje, že by Turla útočila přímo na Adobe. Soustředí se výhradně na zařízení s operačními systémy Windows a MacOS.

Členové skupiny Turla mají řadu sofistikovaných postupů k tomu, aby navedli své oběti ke stáhnutí zdánlivě pravého softwaru. Zároveň jsou úspěšní v tom, jak dokáží skrýt škodlivý přenos dat.

Přesný způsob, jak Turla v tomto případě infikovala své oběti, nezná ani společnost ESET. V úvahu připadá více možností, včetně Man-in-the-Middle útoku se zneužitím již infikovaného zařízení v síti dotčené organizace, zneužití internetového providera nebo odchytávání internetového toku dat přes infikovanou síťovou gateway.

I ti nejzkušenější uživatelé mohou být přesvědčeni k tomu, aby si stáhli škodlivý kód. Ten totiž vypadá, jako by pocházel ze stránky Adobe.com, protože URL a IP adresy napodobují legitimní infrastrukturu společnosti Adobe. Jelikož se všechna zachycená stažení uskutečnila přes http, doporučujeme organizacím, aby ve své síti zakázaly stahování spustitelných souborů přes nešifrované stránky.

To by výrazně snížilo efektivitu útoků skupiny Turla, protože je mnohem těžší odchytit a pozměnit zašifrovaný přenos dat na cestě mezi zařízením a vzdáleným serverem. Zkontrolování podpisu souboru by zároveň mělo potvrdit, zda se děje něco podezřelého.

Tyto škodlivé soubory totiž nejsou podepsané, na rozdíl od legitimních instalací od Adobe. Tyto preventivní kroky by měly uživatelům napomoci k tomu, aby se nestali oběťmi nejnovější kampaně skupiny Turla.

České republice se kyberšpionáž zatím vyhnula, ale nelze ji vyloučit.

ESET přisuzuje tuto škodlivou kampaň skupině Turla ze dvou důvodů:

• Některé z řídících serverů napojených na backdoory používají SATCOM IP adresy, které byly v minulosti spojované s Turlou, navíc tento škodlivý kód je podobný jiným vzorkům škodlivých kódů, které tato skupina používala.

• První falešná instalace Adobe Flash Player oběti nainstaluje na počítač i backdoor Mosquito, který už byl v minulosti odchycen jako škodlivý kód skupiny Turla.

Článek ESET software spol. s r. o. ze dne pondělí 15. ledna 2018

Další články od ESET software spol. s r. o.