Διαδικτυακές διπλωματικές επιθέσεις
Επίθεση από την ομάδα κυβερνοεγκληματιών Turla σε διπλωμάτες στην Ανατολική Ευρώπη χρησιμοποιώντας παραποιημένους installers του Adobe Flash Player

Η ESET έχει εντοπίσει και αναλύσει ένα νέο malware, το οποίο χρησιμοποιείται για επιθέσεις ενάντια σε σημαντικές πολιτικές οργανώσεις της Ανατολικής Ευρώπης από την περιβόητη ομάδα κυβερνοεγκληματιών Turla.

Σύμφωνα με τις αποκαλύψεις της ESET, πρόκειται για ένα νέο εργαλείο που επιχειρεί να εξαπατήσει τα θύματα ώστε να εγκαταστήσουν κακόβουλο λογισμικό, υποτιθέμενα από τον ιστότοπο της Adobe, με στόχο να αποσπάσουν μετέπειτα ευαίσθητες πληροφορίες.

Παρόλο που η ομάδα Turla στο παρελθόν έχει χρησιμοποιήσει απομιμήσεις Flash installers για να εξαπατήσει τους χρήστες να εγκαταστήσουν κάποιο backdoor, είναι η πρώτη φορά που γίνεται λήψη του κακόβουλου προγράμματος από νόμιμες διευθύνσεις URL και IP της Adobe. Ωστόσο, η ESET πιστεύει ακράδαντα ότι το malware της Turla δεν έχει παραβιάσει νόμιμες ενημερώσεις του Flash Player, ούτε σχετίζεται με κανένα γνωστό θέμα ευπάθειας σε προϊόντα της Adobe.

Αναλύοντας την κατάχρηση του Adobe Flash
Έχοντας παρακολουθήσει στενά την ομάδα Turla εδώ και πολλά χρόνια, η ESET διαπίστωσε ότι το νέο αυτό malware πέρα από το ότι εμφανίζεται ως ένα αυθεντικό installer του Flash Player, φαίνεται επίσης ότι προέρχεται από τη διεύθυνση adobe.com. Από πλευράς endpoint, η απομακρυσμένη διεύθυνση IP ανήκει στο Akamai, το επίσημο Δίκτυο Διανομής Περιεχομένου (Content Delivery Network - CDN) που χρησιμοποιείται από την Adobe για τη διανομή του αυθεντικού Flash installer.

Ωστόσο, με μια προσεκτικότερη έρευνα, η ESET κατάφερε να διαπιστώσει ότι οι πλαστοί Flash installers εκτελούσαν ένα αίτημα GET για να αποσπάσουν ευαίσθητες πληροφορίες από τα συστήματα που είχαν πρόσφατα παραβιαστεί.

Σύμφωνα με την τηλεμετρία της ESET, οι installers της ομάδας Turla εξάγουν πληροφορίες στις διευθύνσεις get.adobe.com τουλάχιστον από τον Ιούλιο του 2016. Καθώς χρησιμοποιούνται νόμιμα domains για την απόσπαση δεδομένων, ο εντοπισμός τους στο network traffic καθίσταται πολύ πιο δύσκολος, γεγονός που επιβεβαιώνει την πρόθεση της ομάδας Turla να διατηρεί τη δράση της όσο το δυνατόν πιο μυστική.

«Οι κυβερνοεγκληματίες της ομάδας Turla διαθέτουν πολλούς και πολύπλοκους τρόπους ώστε να εξαπατούν τους χρήστες για να κατεβάζουν φαινομενικά αυθεντικό λογισμικό, κρύβοντας έξυπνα τις κακόβουλες κινήσεις τους στο δίκτυο», δήλωσε ο Jean-Ian Boutin, senior malware researcher της ESET.

«Ακόμα και οι πιο έμπειροι χρήστες θα μπορούσαν να ξεγελαστούν ώστε να κατεβάσουν ένα κακόβουλο αρχείο που μοιάζει να προέρχεται από τον ιστότοπο Adobe.com, αφού η διεύθυνση URL και η διεύθυνση IP μιμούνται τις αυθεντικές υποδομές της Adobe. Καθώς όλες οι λήψεις που είδαμε έγιναν μέσω HTTP, συμβουλεύουμε τις επιχειρήσεις να απαγορεύουν τη λήψη εκτελέσιμων αρχείων μέσω μη κρυπτογραφημένων συνδέσεων.

Αυτό θα μειώσει σημαντικά την αποτελεσματικότητα των επιθέσεων της ομάδας Turla, καθώς είναι πιο δύσκολο να γίνει υποκλοπή και τροποποίηση της κρυπτογραφημένης κίνησης στη διαδρομή μεταξύ μίας συσκευής και ενός απομακρυσμένου διακομιστή. Δεύτερον, ο έλεγχος της υπογραφής του αρχείου θα πρέπει να επιβεβαιώνει αν συμβαίνει κάτι ύποπτο, δεδομένου ότι αυτά τα κακόβουλα αρχεία δεν διαθέτουν υπογραφές, ενώ οι installers της Adobe έχουν. Η λήψη τέτοιων μέτρων θα βοηθήσει τους χρήστες να μην πέσουν θύματα της τελευταίας εκστρατείας της ομάδας Turla»
Αποδεικνύοντας την εμπλοκή της ομάδας Turla

Η ESET είναι βέβαιη ότι πίσω από τη συγκεκριμένη κακόβουλη εκστρατεία βρίσκεται η ομάδα Turla για διάφορους λόγους. Πρώτον, ορισμένοι πλαστοί Flash installers εγκαθιστούν ένα backdoor γνωστό ως Mosquito, το οποίο έχει ήδη εντοπιστεί ως κακόβουλο πρόγραμμα που ανήκει στην ομάδα Turla. Δεύτερον, μερικοί C&C servers που συνδέονται με τα εγκατεστημένα backdoor χρησιμοποιούν διευθύνσεις SATCOM IP που έχουν συνδεθεί στο παρελθόν με την ομάδα Turla. Τέλος, αυτό το κακόβουλο πρόγραμμα εμφανίζει ομοιότητες με άλλες οικογένειες κακόβουλων προγραμμάτων που χρησιμοποιεί η ομάδα Turla.

Send to Facebook

Τα ρομπότ πληθαίνουν

Η συνεχιζόμενη τάση προς αυτοματοποίηση, καθώς και οι διαρκείς καινοτόμες τεχνικές βελτιώσεις, έχουν επιταχύνει τα τελευταία χρόνια τη χρήση βιομηχανικών ρομπότ παγκοσμίως. Το 2017, οι πωλήσεις ρομπότ αυξήθηκαν κατά 30% στις 381.335 μονάδες, νέο ρεκόρ για πέμπτη συνεχόμενη χρονιά. Μεταξύ...

08/12/2018 15:55

Νέα ήπειρος σε250 εκ χρόνια..

Οι επιστήμονες θεωρούν ότι η επόμενη υπερήπειρος μορφή της Γης θα σχηματιστεί στα 200-250 εκατομμύρια χρόνια.     Το...

04/12/2018 19:44

Κυκλοφορούν 17/12

Η Apple και η Amazon, ανακοίνωσε αυτή την εβδομάδα την έλευση της υπηρεσίας Apple Music στα έξυπνα ηχεία Echo της δεύτερης, κάτι που θα πραγματοποιηθεί στις 17 Δεκεμβρίου. Όπως αναφέρει η Amazon, οι συνδρομητές της υπηρεσίας streaming μουσικής της Apple θα μπορούν να ζητούν από την Alexa να αναπαράγει τα αγαπημένα τους τραγούδια...

02/12/2018 18:32

Μετά τα χθεσινά με το Messenger

Προβλήματα στη λειτουργία του εμφανίζει η πλατφόρμα του Facebook. Αρκετοί είναι οι χρήστες του δημοφιλούς κοινωνικού δικτύου που ανέφεραν ότι από χθες η πλατφόρμα αντιμετωπίζει προβλήματα. Αν και οι περισσότεροι χρήστες μπορούν να συνδεθούν στους λογαριασμούς τους, η σελίδα δε φορτώνει κανονικά και δεν εμφανίζονται όλες οι...

20/11/2018 16:06

Μήπως η έξυπνη πόλη ξέρει πολλά για σένα;

Το 2013 η Google εγκατέστησε τον εξοπλισμό της στο Τορόντο για να οικοδομήσει εκεί τη δική της «έξυπνη πόλη» και το  2015 ίδρυσε μια θυγατρική εταιρεία στην πόλη του Καναδά με στόχο να αναλάβει τη διαχείριση της περιοχής. Πλέον όμως ο τεχνολογικός γίγαντας επιδιώκει να κυριαρχήσει και στον αστικό σχεδιασμό και  μοιάζει να θέλει...

19/11/2018 12:46

Τέρμα στα παράνομα κατεβάσματα

Τις επόμενες ώρες θα πέσει «μαύρο» στο διάσημο site παράνομου κατεβάσματος «The Pirate Bay», όπως και σε ακόμα 37 ιστοσελίδες.  

09/11/2018 07:10

Λειτουργεί σαν τον ανθρώπινο εγκέφαλο

Χρειάστηκαν δέκα χρόνια για το Πανεπιστήμιο του Manchester να σχεδιάσει, να κατασκεύασει και να ενεργοποιήσει τον υπερυπολογιστή SpiNNaker, εφοδιάζοντάς τον με ένα εκατομμύριο επεξεργαστές για να λειτουργεί όπως ο ανθρώπινος εγκέφαλος. Η ενεργοποίηση του SpiNNaker (Spiking Neural Network Architecture) έγινε στις 2 Νοεμβρίου και...

08/11/2018 14:10

Tα AirPods των φτωχών

Η Xiaomi συνεχίζει να επεκτείνει το οικοσύστημα της εκτός smartphone και tablet με ενδιαφέροντα gadget όπως τα νέα της «πραγματικά»  ασύρματα ακουστικά που ανακοινώθηκαν σήμερα στην Κίνα. Τα Mi AirDots αποτελούν θα λέγαμε «τα AirPods των φτωχών» αφού φέρουν αρκετές ομοιότητες στην ονομασία και στην εμφάνιση με τα γνωστά ακουστικά...

07/11/2018 18:23

Mε 48 πυρήνες

H Intel ανακοίνωσε την ταχύτερη σειρά επεξεργαστών που έχει κατασκευάσει ποτέ για διακομιστές, τη Xeon Cascade Lake-series με έως και 48 πυρήνες. Σήμερα, η κορυφαία σειρά επεξεργαστών για servers της Intel, Xeon Scalable ενσωματώνουν μέχρι και 28 πυρήνες και 56 threads, και όλοι τους βρίσκονται σε ένα μονολιθικό «die». Ακολουθώντας ωστόσο το πιο...

07/11/2018 12:08

Aνακοινώσεις μέσα στον μήνα

Η Κορεάτικη εταιρία αναμένεται μέσα στο μήνα να προβεί σε ανακοινώσεις, έχοντας ήδη πιστεί από την αγορά. Μέχρι και πριν από λίγο καιρό γνωρίζαμε οτι η Samsung δούλευε πάνω στο να βγάλει στην...

06/11/2018 09:56

Επανάσταση στον κόσμο των φωτογραφικών

Οι τάσεις που καταγράφονται στη φετινή Photokina της Κολωνίας, που ανοίγει σήμερα τις πύλες της στο πλατύ κοινό, καταδεικνύουν ότι ο κλάδος προσαρμόζεται πλέον απόλυτα στις ριζικές αλλαγές που φέρνει η ψηφιακή εποχή. «Η Photokina δεν είναι πλέον αυτή που ήταν κάποτε», λένε οι τακτικοί επισκέπτες της μεγαλύτερης έκθεσης φωτογραφικών...

27/09/2018 06:54

Διαδικτυακές κρατήσεις

Η Airbnb, διαδικτυακή πλατφόρμα εκμίσθωσης ακινήτων, δεσμεύθηκε σήμερα να τροποποιήσει τους όρους και τις προϋποθέσεις χρήσης της υπηρεσίας που προσφέρει και να βελτιώσει την παρουσίαση των τιμών μέχρι το τέλος του 2018, ανακοίνωσε σήμερα η Βέρα Γιούροβα, επίτροπος αρμόδια για τη Δικαιοσύνη την Ισότητα Φύλων και τους Καταναλωτές. Όπως...

20/09/2018 12:46

Back to Top