Pro cílený útok byl použit program Crutch. Ukradená data byla ukládána na Dropbox. Nejednalo se o Českou republiku.
Analytici společnosti ESET objevili doposud nezdokumentovaný špionážní malware určený k ovládání zařízení a krádeži dokumentů. Program nazvaný Crutch je experty připsán nechvalně známé skupině hackerů Turla.
Používal se od roku 2015 až do začátku letošního roku. Společnost ESET detekovala Crutch v síti ministerstva zahraničních věcí v zemi Evropské unie, což naznačuje, že tato rodina malwaru je používána při cílených útocích. Crutch byl navržený k exfiltraci citlivých dokumentů a dalších souborů na účty v úložišti Dropbox ovládané operátory skupiny Turla.
„Hlavní škodlivou činností je exfiltrace dokumentů a dalších citlivých souborů. Sofistikovanost útoků a technické detaily nás utvrzují v tom, že skupina Turla má značné prostředky na provozování tak velkého a rozmanitého arzenálu,“ popisuje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.
„Crutch je navíc schopen obejít některé vrstvy zabezpečení tím, že zneužije legitimní infrastrukturu – v tomto případě Dropbox – aby mohl splynout s běžným síťovým provozem, a přitom exfiltrovat odcizené dokumenty a přijímat příkazy od operátorů.“
Útoky probíhaly pravděpodobně z východní Evropy
Při zkoumání malware se analytici pokoušejí také zjistit maximum o útočnících. Mimo jiné, odkud útočí, nejčastěji se to určuje podle pracovní doby operátorů.
Výzkumníci proto zjišťovali speciálně ty hodiny, kdy útočníci nahrávali soubory ZIP na účty v úložišti Dropbox. Celkově shromáždili 506 různých časových razítek v rozmezí od října 2018 do července 2019. Toto množství dat by mělo eliminovat časy, kdy byly aktivní jen zařízení obětí. Z nasbíraných údajů plyne, že provozovatelé pravděpodobně budou pracovat v časovém pásmu UTC + 3 (tedy v regionu východní Evropy či Blízkého východu).
Výzkum společnosti ESET dokázal identifikovat silné vazby mezi malwarem, který stahuje Crutch, z roku 2016 a Gazerem, tedy typem malware, který Turla používala v letech 2016 až 2017.
Turla je aktivní kybernetickou špionážní skupinou operující více než 10 let. Dokázala kompromitovat řadu vlád, obzvláště diplomatických subjektů, po celém světě. Skupina využívá rozsáhlý arzenál různých typů malware. ESET soustavně dokumentuje její aktivity. (Jmenovitě lze uvést například malware Gazer, Mosquito, Light Neuron).