Διαδικτυακές διπλωματικές επιθέσεις
Επίθεση από την ομάδα κυβερνοεγκληματιών Turla σε διπλωμάτες στην Ανατολική Ευρώπη χρησιμοποιώντας παραποιημένους installers του Adobe Flash Player

Η ESET έχει εντοπίσει και αναλύσει ένα νέο malware, το οποίο χρησιμοποιείται για επιθέσεις ενάντια σε σημαντικές πολιτικές οργανώσεις της Ανατολικής Ευρώπης από την περιβόητη ομάδα κυβερνοεγκληματιών Turla.

Σύμφωνα με τις αποκαλύψεις της ESET, πρόκειται για ένα νέο εργαλείο που επιχειρεί να εξαπατήσει τα θύματα ώστε να εγκαταστήσουν κακόβουλο λογισμικό, υποτιθέμενα από τον ιστότοπο της Adobe, με στόχο να αποσπάσουν μετέπειτα ευαίσθητες πληροφορίες.

Παρόλο που η ομάδα Turla στο παρελθόν έχει χρησιμοποιήσει απομιμήσεις Flash installers για να εξαπατήσει τους χρήστες να εγκαταστήσουν κάποιο backdoor, είναι η πρώτη φορά που γίνεται λήψη του κακόβουλου προγράμματος από νόμιμες διευθύνσεις URL και IP της Adobe. Ωστόσο, η ESET πιστεύει ακράδαντα ότι το malware της Turla δεν έχει παραβιάσει νόμιμες ενημερώσεις του Flash Player, ούτε σχετίζεται με κανένα γνωστό θέμα ευπάθειας σε προϊόντα της Adobe.

Αναλύοντας την κατάχρηση του Adobe Flash
Έχοντας παρακολουθήσει στενά την ομάδα Turla εδώ και πολλά χρόνια, η ESET διαπίστωσε ότι το νέο αυτό malware πέρα από το ότι εμφανίζεται ως ένα αυθεντικό installer του Flash Player, φαίνεται επίσης ότι προέρχεται από τη διεύθυνση adobe.com. Από πλευράς endpoint, η απομακρυσμένη διεύθυνση IP ανήκει στο Akamai, το επίσημο Δίκτυο Διανομής Περιεχομένου (Content Delivery Network - CDN) που χρησιμοποιείται από την Adobe για τη διανομή του αυθεντικού Flash installer.

Ωστόσο, με μια προσεκτικότερη έρευνα, η ESET κατάφερε να διαπιστώσει ότι οι πλαστοί Flash installers εκτελούσαν ένα αίτημα GET για να αποσπάσουν ευαίσθητες πληροφορίες από τα συστήματα που είχαν πρόσφατα παραβιαστεί.

Σύμφωνα με την τηλεμετρία της ESET, οι installers της ομάδας Turla εξάγουν πληροφορίες στις διευθύνσεις get.adobe.com τουλάχιστον από τον Ιούλιο του 2016. Καθώς χρησιμοποιούνται νόμιμα domains για την απόσπαση δεδομένων, ο εντοπισμός τους στο network traffic καθίσταται πολύ πιο δύσκολος, γεγονός που επιβεβαιώνει την πρόθεση της ομάδας Turla να διατηρεί τη δράση της όσο το δυνατόν πιο μυστική.

«Οι κυβερνοεγκληματίες της ομάδας Turla διαθέτουν πολλούς και πολύπλοκους τρόπους ώστε να εξαπατούν τους χρήστες για να κατεβάζουν φαινομενικά αυθεντικό λογισμικό, κρύβοντας έξυπνα τις κακόβουλες κινήσεις τους στο δίκτυο», δήλωσε ο Jean-Ian Boutin, senior malware researcher της ESET.

«Ακόμα και οι πιο έμπειροι χρήστες θα μπορούσαν να ξεγελαστούν ώστε να κατεβάσουν ένα κακόβουλο αρχείο που μοιάζει να προέρχεται από τον ιστότοπο Adobe.com, αφού η διεύθυνση URL και η διεύθυνση IP μιμούνται τις αυθεντικές υποδομές της Adobe. Καθώς όλες οι λήψεις που είδαμε έγιναν μέσω HTTP, συμβουλεύουμε τις επιχειρήσεις να απαγορεύουν τη λήψη εκτελέσιμων αρχείων μέσω μη κρυπτογραφημένων συνδέσεων.

Αυτό θα μειώσει σημαντικά την αποτελεσματικότητα των επιθέσεων της ομάδας Turla, καθώς είναι πιο δύσκολο να γίνει υποκλοπή και τροποποίηση της κρυπτογραφημένης κίνησης στη διαδρομή μεταξύ μίας συσκευής και ενός απομακρυσμένου διακομιστή. Δεύτερον, ο έλεγχος της υπογραφής του αρχείου θα πρέπει να επιβεβαιώνει αν συμβαίνει κάτι ύποπτο, δεδομένου ότι αυτά τα κακόβουλα αρχεία δεν διαθέτουν υπογραφές, ενώ οι installers της Adobe έχουν. Η λήψη τέτοιων μέτρων θα βοηθήσει τους χρήστες να μην πέσουν θύματα της τελευταίας εκστρατείας της ομάδας Turla»
Αποδεικνύοντας την εμπλοκή της ομάδας Turla

Η ESET είναι βέβαιη ότι πίσω από τη συγκεκριμένη κακόβουλη εκστρατεία βρίσκεται η ομάδα Turla για διάφορους λόγους. Πρώτον, ορισμένοι πλαστοί Flash installers εγκαθιστούν ένα backdoor γνωστό ως Mosquito, το οποίο έχει ήδη εντοπιστεί ως κακόβουλο πρόγραμμα που ανήκει στην ομάδα Turla. Δεύτερον, μερικοί C&C servers που συνδέονται με τα εγκατεστημένα backdoor χρησιμοποιούν διευθύνσεις SATCOM IP που έχουν συνδεθεί στο παρελθόν με την ομάδα Turla. Τέλος, αυτό το κακόβουλο πρόγραμμα εμφανίζει ομοιότητες με άλλες οικογένειες κακόβουλων προγραμμάτων που χρησιμοποιεί η ομάδα Turla.

Send to Facebook

Διαδίκτυο

Μία μεγάλη επίθεση κατά του Ηνωμένου Βασιλείου στον κυβερνοχώρο είναι «ζήτημα του πότε, όχι του εάν» δηλώνει στην εφημερίδα Guardian ο επικεφαλής του βρετανικού Εθνικού Κέντρου Κυβερνοασφάλειας Κίραν Μάρτιν. Όπως προειδοποιεί, μία τέτοια επίθεση θα μπορούσε να προκαλέσει χάος κατά τη διεξαγωγή εκλογών στη Βρετανίας ή στη...

23/01/2018 14:31

Μέσα Κοινωνικής Δικτύωσης

Το Facebook θα αξιολογεί ως «αξιόπιστες» τις ειδήσεις που εμφανίζονται στο news feed των χρηστών, χρησιμοποιώντας τη γνώμη των ίδιων των χρηστών ώστε να προβάλει τις πραγματικές ειδήσεις και να καταπολεμήσει την παραπληροφόρηση. Η σχετική ανακοίνωση έγινε με ανάρτηση (που αλλού, στη σελίδα του στο Facebook φυσικά) του διευθύνοντος συμβούλου...

23/01/2018 07:04

Ένα εκατομμύριο άτομα θα ενημερωθούν για γενικές ψηφιακές γνώσεις

Το Facebook έκανε γνωστό ότι θα ανοίξει τρία νέα κέντρα στην Ευρώπη, τα οποία θα εκπαιδεύουν τους ανθρώπους σε διάφορες ψηφιακές δεξιότητες. Παρόμοια κέντρα είχαν έως τώρα ανοίξει σε χώρες εκτός Ευρώπης, όπως η Νιγηρία και Βραζιλία. Τα νέα κέντρα, που θα λειτουργήσουν σε Ιταλία, Ισπανία και Πολωνία, έχουν ως στόχο να εκπαιδεύσουν...

22/01/2018 10:05

Δυσκολεύουν τα πράγματα για τους Youtubers

Αυστηρότερες προϋποθέσεις και όρους χρήσης για δημιουργούς και εκδότες βίντεο που θέλουν να βγάζουν χρήματα χρησιμοποιώντας την πλατφόρμα του θέτει το YouTube. Επίσης, ανακοίνωσε ότι εργαζόμενοί του θα εξετάζουν όλα τα βίντεο πριν αυτά προστεθούν σε μια premium υπηρεσία η οποία φέρνει κοντά τους διαφημιστές μεγάλων brands με δημοφιλές...

19/01/2018 06:58

Θα φθάσετε στον προορισμό σας σε 28 λεπτά!

Είναι γεγονός ότι αναρωτιόμαστε πλέον ολοένα και περισσότερο πώς στο καλό μετακινούμασταν στην πόλη και σε σημεία που δεν ξέρουμε πριν από την έλευση των Google Maps στη ζωή μας. Η εφαρμογή που μας έκανε να μη χανόμαστε δεν χρειάζεται προφανώς ιδιαίτερες συστάσεις, καθώς είναι εδώ και κάμποσο καιρό ο φωτεινός οδηγός στα ταξίδια...

18/01/2018 11:41

Πανάκριβα τα πρώτα μοντέλα

Η γαλλική εταιρεία Pragma Industries είναι η πρώτη στον κόσμο που άρχισε την εργοστασιακή παραγωγή ποδηλάτων, τα οποία κινούνται με υδρογόνο. Προς το παρόν τα ποδήλατα κοστίζουν 7.500 ευρώ το ένα, ενώ ο αγοραστής πρέπει να συνυπολογίσει και άλλα 30.000 ευρώ περίπου για το σταθμό ανεφοδιασμού του ποδηλάτου. Τα υδρογονοκίνητα, που δεν...

18/01/2018 06:56

Έκθεση καινοτομίας CES 2018

Πριν από λίγο καιρό είχαμε γνωρίσει την Effie, μια συσκευή που στεγνώνει, φρεσκάρει και σιδερώνει τα ρούχα με το πάτημα ενός κουμπιού. Τώρα, ήρθε η ώρα να συμπληρωθεί το σετ με δύο νέες συσκευές που παρουσιάστηκαν στο CES 2018, η πρώτη για αυτόματο ξεχώρισμα των ρούχων ανάλογα με τον τύπο του υφάσματος και η δεύτερη αποκλειστικά για αυτόματο...

15/01/2018 13:47

O ARMAR-6 στις υπεραγορές της Μ. Βρετανίας

Από τη μέση και πάνω θυμίζει λίγο το C3PO από τον «Πόλεμο των άστρων». Αντί για πόδια όμως έχει μια πλατφόρμα με ρόδες. Το ARMAR-6, το πρώτο ρομπότ που ετοιμάζεται να πιάσει δουλειά σε αποθήκες σουπερμάρκετ, παρουσιάστηκε επισήμως στο κοινό στη Βρετανία. Το πρότυπο ρομπότ αναπτύχθηκε από το τμήμα καινοτομίας της βρετανικής αλυσίδας...

14/01/2018 06:39

Οικογένεια και στενοί φίλοι θα έχουν προτεραιότητα

Πιο «οικογενειακό» σχεδιάζει να γίνει το Facebook εφαρμόζοντας σημαντικές αλλαγές στην προβολή των ειδήσεων. Σύμφωνα με τον εμπνευστή του Μαρκ Zούκερμπερκ, θα δίνεται πλέον περισσότερη έμφαση στο περιεχόμενο που παράγουν οι φίλοι και η οικογένεια. Αναλυτικότερα, το δημοφιλές κοινωνικό δίκτυο σχεδιάζει να αλλάξει τους αλγόριθμούς...

13/01/2018 07:05

Ανακύκλωση Χριστουγεννιάτικων δέντρων

Με το πέρας των γιορτών τα χριστουγεννιάτικα δέντρα έχουν επιτελέσει τον σκοπό τους. Στη Γερμανία δεν καταλήγουν απλά στα σκουπίδια, αλλά αξιοποιούνται με διάφορους τρόπους. Την εορταστική περίοδο των Χριστουγέννων αυξάνεται αισθητά ο όγκος των σκουπιδιών. Εκτός των άχρηστων συσκευασιών για δώρα, μετά το πέρας των γιορτών...

10/01/2018 07:05

Επικίνδυνες εφαρμογές

Εάν έχετε παιδιά που φοιτούν στο λύκειο ή σε κολέγιο, γνωρίζετε μάλλον αυτές τις εφαρμογές: Sarahah, Curious Cat, Secret, Gossip, Yik Yak. Όλες αυτές είναι βασισμένες στην εξής αρχή: αποστολή και παραλαβή ανώνυμων μηνυμάτων οποιαδήποτε στιγμή. Και το πιο σημαντικό, το μήνυμα διαγράφεται χωρίς να αφήνει κανένα ίχνος. Μπορεί να φαίνεται αστείο,...

09/01/2018 07:01

Διαδίκτυο

Αύξηση των περιστατικών και των κινδύνων που απειλούν την κυβερνοασφάλεια αναμένει το 2018 η ESET, σύμφωνα με τις προβλέψεις της σε σχετική έκθεση που δημοσίευσε. Η έκθεση «Cybersecurity Trends 2018: The Cost of our Connected World», που έχουν επιμεληθεί οι ειδικοί στον τομέα κυβερνοασφάλειας της ESET, παρουσιάζει θέματα που θα απασχολήσουν όλους μας κατά...

08/01/2018 07:03

Back to Top