Хакеры использовали два новых бэкдора для шпионажа за сотрудниками европейского Министерства иностранных дел.
Эти новые бэкдоры, получившие названия «LunarWeb» и «LunarMail», приписывают кибершпионажной группе Turla, которую иностранные СМИ связывают с российскими спецслужбами.
Недавно исследователи обнаружили два новых бэкдора, внедренных в инфраструктуру одного из европейских министерств иностранных дел (МИД) и его дипломатических представительств.
Словацкая компания ESET, обнаружившая два новых бэкдора, получивших названия «LunarWeb» и «LunarMail», приписывает их группе кибершпионажа Turla.
Turla действует по меньшей мере с 2004 года, а возможно, и с конца 1990-х.
Turla в первую очередь атакует высокопоставленные структуры, такие как правительства и дипломатические организации в Европе, Центральной Азии и на Ближнем Востоке. В частности, группе приписывают взлом сетей таких организаций как Министерство обороны США в 2008 году и швейцарского производителя оборудования и техники для авиакосмической промышленности RUAG в 2014 году.
Бэкдор LunarWeb незаметно проникает на серверы, закрепляясь в целевой инфраструктуре.
Действуя скрытно, он обменивается данными через HTTP(S), зеркально отражая легитимные шаблоны трафика, чтобы скрыть свое присутствие.
Скрытность - ключевой момент в программе LunarWeb. Для этого бэкдор использует технику стеганографии. Этот бэкдор скрытно внедряет команды в безобидные изображения, эффективно обходя механизмы обнаружения.
Загрузчик LunarWeb, метко названный LunarLoader, демонстрирует удивительную универсальность, отмечают исследователи. Маскируясь под троянское ПО с открытым исходным кодом или работая в автономном режиме эта точка проникновения демонстрирует адаптивность.
LunarMail: Используется для проникновения на отдельные рабочие станции
LunarMail использует другой подход по сравнению с LunarWeb. Она внедряется в рабочие станции Outlook. Используя привычную среду электронной почты, этот бэкдор осуществляет свою шпионскую деятельность, оставаясь скрытым среди ежедневного потока цифровой корреспонденции, которую его жертвы получают на свои рабочие станции.
При первом запуске бэкдор LunarMail собирает информацию о переменных окружения и электронных адресах всех исходящих сообщений электронной почты. Затем он связывается с командно-контрольным сервером через Outlook Messaging API, чтобы получить дальнейшие инструкции.
LunarMail способен записывать файлы, создавать адреса электронной почты для связи сервером, создавать произвольные процессы и выполнять их, делать скриншоты и многое другое.
Подобно своему аналогу, LunarMail использует возможности стеганографии, хотя и в рамках почтовых вложений. Скрывая команды в файлах с изображениями, LunarMail сохраняет свои тайные каналы связи незамеченными.
Интеграция LunarMail с Outlook выходит за рамки простого проникновения. Она манипулирует вложениями электронной почты, легко встраивая зашифрованные команды в файлы изображений или PDF-документы, что облегчает незаметную утечку данных.
Первоначальный доступ и обнаружение
Векторы первоначального доступа хакеров Turla, хотя и не подтвержденные окончательно, указывают на использование уязвимостей . По словам исследователей, злоупотребление программным обеспечением для мониторинга сети Zabbix также является потенциальным способом компрометации.
Взломанные организации были в основном связаны с европейским МИД, что означает, что вторжение носило стратегический характер. Расследование началось с обнаружения загрузчика, расшифровывающего и запускающего полезную нагрузку из внешнего файла на неопознанном сервере.
Это был ранее неизвестный бэкдор, который исследователи назвали LunarWeb. Затем аналогичная цепочка атак с LunarWeb была обнаружена в дипломатическом учреждении одного из европейских МИД, но уже со вторым бэкдором - LunarMail.
В ходе другой атаки исследователи обнаружили одновременное развертывание цепочки с LunarWeb в трех дипломатических учреждениях этого МИД на Ближнем Востоке, причем это произошло в течение нескольких минут друг за другом.
«Атакующий, вероятно, имел предварительный доступ к контроллеру домена МИДа и использовал его для латерального перемещения на машины смежных учреждений в той же сети», - отмечают исследователи.
Хакеры продемонстрировали разную степень изощренности при взломе. Ошибки в кодировании и различные стили кодирования, использованные для разработки бэкдоров, позволяют предположить, что «в разработке и эксплуатации этих инструментов, скорее всего, принимали участие несколько человек».
Недавно компания Mandiant, принадлежащая Google, в подробном отчете с «высокой степенью уверенности» заявила, что киберугрозы, исходящие от российских групп кибершпионажа, представляют наибольший риск для выборов в регионах, в которых заинтересована Россия, включая Европейский союз, Великобританию и Соединенные Штаты.