Nem jó most kelet-európai diplomatának lenni

Az ESET új kártevőt azonosított, amelyet a hírhedt Turla csoport használ politikai szervezetek elleni támadásra a kelet-európai régióban. Az ESET szakembereinek felfedezése szerint az új vírus egy Adobe weboldaláról származó hamis szoftvernek álcázva magát próbálja rávenni az áldozatokat a kártevő telepítésére, amelynek célja a személyes adatok megszerzése. A Turla csoport korábban már használt hamis telepítőket a kártevői célba juttatásához, azonban ez az első eset, amikor a rosszindulatú program egy hivatalos Adobe URL-ről és ip-címről töltődik le. Az ESET szakemberei bíznak abban, hogy a Turla kártevői nem fertőztek meg egyetlen hivatalos Flash Player frissítést sem, illetve nem kapcsolódnak semmilyen Adobe termék ismert sebezhetőségéhez.

„A Turla üzemeltetői számtalan trükkös módszert találtak arra, hogy rávegyék a gyanútlan felhasználókat egy látszólag hivatalos program letöltésére, és elég okosak ahhoz, hogy elrejtsék a rosszindulatú hálózati forgalmukat” – mondta Jean-Ian Boutin, az ESET kártevőkutatója. „Még a legtapasztaltabb felhasználók is becsaphatók, hogy letöltsenek egy kártevőt, amely látszólag az Adobe.com oldalról érkezik, mivel az URL és az ip-cím az Adobe hivatalos infrastruktúráját utánozza. Minden általunk vizsgált letöltés http-n keresztül történt, így azt javasoljuk a szervezeteknek, hogy tiltsák le a titkosítatlan kapcsolaton keresztül érkező futtatható fájlok letöltését. Ez jelentősen csökkenti a Turla támadásainak hatékonyságát, mivel sokkal nehezebb beékelődni vagy módosítani egy titkosított HTTPS kapcsolatot. Ezen kívül a fájlok digitális aláírásának ellenőrzése igazolhatja a sejtelmeket egy gyanús esemény során, mert ezek a fájlok nem rendelkeznek aláírással, az Adobe telepítői viszont igen. Ezek a lépések segítenek elkerülni a Turla csoport legújabb támadásait.”

A Turla jelenlétére utaló nyomok
A támadások elsősorban a volt szovjet utódállamok területét támadó Turla csoporthoz köthetők. A hamis Flash telepítők egy Mosquito elnevezésű backdoor programot tartalmaznak, amelyet korábban egy Turla csoporthoz köthető kártevőként azonosítottak. Ezen kívül néhány vezérlőszerver (C&C) a SATCOM ip-címeket használó backdoor programokhoz kapcsolható, amelyek szintén a Turla csoporthoz kötődnek.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.