Rosyjscy hakerzy atakują. To oni stoją za włamaniami w USA, Niemczech czy Afganistanie

Zespół Cisco Talos przeprowadził badania, które wykazały nowe, potencjalne powiązania między backdoorem Sunburst a wspomnianym wcześniej zespołem hakerów. Odkrycie zostało dokonane za pomocą telemetrii, ale by poznać dokładny sposób jego instalacji w systemie ofiary konieczne były dalsze badania.

Jak ustalił zespół badaczy, do zainstalowania backdoora adwersarze używają pliku .bat, zaś backdoor ma postać usługi DLL o nazwie w64time.dll. Dzięki tej nazwie i sposobowi jego ukrycie, jego odkrycie sprawia sporo problemów. Szczególnie, że w Windowsie można znaleźć bibliotekę w32time.dll, która w żaden sposób nie jest powiązana ze szkodliwym oprogramowaniem.

Złośliwe oprogramowanie stworzone przez Turlę działa jako usługa ukryta w procesie svchost.exe. Funkcja startowa ServiceMain biblioteki DLL służy do wykonania funkcji zawierającej kod backdoora. To jednak nie wszystko co Turla wykorzystuje w swoich atakach.

Cisco Talos przekazał, że hakerzy podczas swoich kampanii często używają, wielokrotnie te same, zhakowane serwery. Wiadomo także, że oszuści stale pracują nad poprawieniem swojego szkodliwego oprogramowania, by uczynić je bardziej niewykrywalnym. Łączą także różne techniki, aby ukryć prawdziwe działanie kodu przed ofiarami.

Ze względu na szeroki zakres działań grupy, badacze ds. cyberbezpieczeństwa sugerują, że posiadanie wielowarstwowej architektury bezpieczeństwa umożliwiającej wykrywanie tego rodzaju ataków jest absolutnie niezbędne. Dotyczy to zarówno mniejszych podmiotów prywatnych, jak i ogromnych instytucji publicznych. W takiej sytuacji, nawet jeżeli hakerom uda się ominąć niektóre środki bezpieczeństwa, to unieszkodliwienie wszystkich może okazać się niemożliwe lub zniechęcające do ataku.