Rosyjscy hakerzy atakują. To oni stoją za włamaniami w USA, Niemczech czy Afganistanie

Strona głównaRosyjscy hakerzy atakują. To oni stoją za włamaniami w USA, Niemczech czy Afganistanie
28.09.2021 15:46
Rosyjscy hakerzy atakują. To oni stoją za włamaniami w USA, Niemczech czy Afganistanie
Źródło zdjęć: © Adobe Stock | ©Rawpixel.com - stock.adobe.com

Znanej rosyjskiej grupie Turla udało się przez lata opracować zestaw narzędzi do przeprowadzania ataków. Ich ofiarami padają zarówno europejskie instytucje rządowe, jak i wiele innych celów w USA, na Ukrainie czy w krajach arabskich.

bEKyDRGZ

Zespół Cisco Talos przeprowadził badania, które wykazały nowe, potencjalne powiązania między backdoorem Sunburst a wspomnianym wcześniej zespołem hakerów. Odkrycie zostało dokonane za pomocą telemetrii, ale by poznać dokładny sposób jego instalacji w systemie ofiary konieczne były dalsze badania.

Technikalia Sunburst

Jak ustalił zespół badaczy, do zainstalowania backdoora adwersarze używają pliku .bat, zaś backdoor ma postać usługi DLL o nazwie w64time.dll. Dzięki tej nazwie i sposobowi jego ukrycie, jego odkrycie sprawia sporo problemów. Szczególnie, że w Windowsie można znaleźć bibliotekę w32time.dll, która w żaden sposób nie jest powiązana ze szkodliwym oprogramowaniem.

Złośliwe oprogramowanie stworzone przez Turlę działa jako usługa ukryta w procesie svchost.exe. Funkcja startowa ServiceMain biblioteki DLL służy do wykonania funkcji zawierającej kod backdoora. To jednak nie wszystko co Turla wykorzystuje w swoich atakach.

bEKyDRHb
BloodyStealer obrał sobie za cel graczy. Trojan kradnie konta w grach online
BloodyStealer obrał sobie za cel graczy. Trojan kradnie konta w grach online

Działania grupy Turla

Cisco Talos przekazał, że hakerzy podczas swoich kampanii często używają, wielokrotnie te same, zhakowane serwery. Wiadomo także, że oszuści stale pracują nad poprawieniem swojego szkodliwego oprogramowania, by uczynić je bardziej niewykrywalnym. Łączą także różne techniki, aby ukryć prawdziwe działanie kodu przed ofiarami.

Ze względu na szeroki zakres działań grupy, badacze ds. cyberbezpieczeństwa sugerują, że posiadanie wielowarstwowej architektury bezpieczeństwa umożliwiającej wykrywanie tego rodzaju ataków jest absolutnie niezbędne. Dotyczy to zarówno mniejszych podmiotów prywatnych, jak i ogromnych instytucji publicznych. W takiej sytuacji, nawet jeżeli hakerom uda się ominąć niektóre środki bezpieczeństwa, to unieszkodliwienie wszystkich może okazać się niemożliwe lub zniechęcające do ataku.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
bEKyDRHX