07 dec. 2020 | 10:38

Cum a devenit Dropbox o armă în mâinile hackerilor: pericolul la care să fii atent

ACTUALITATE
Cum a devenit Dropbox o armă în mâinile hackerilor: pericolul la care să fii atent

Grupul de hacking susținut de Rusia, Turla, a folosit un set de instrumente malware pentru a fura documente sensibile, în proceduri de cyber-spionaj direcționate către ținte înalte, precum Ministerul Afacerilor Externe al unei țări din Uniunea Europeană.

Cadrul malware necunoscut anterior, denumit Crutch, a fost utilizat în campanii de hacking care se întind din 2015 până cel puțin la începutul anului 2020.

Programul malware Crutch de la Turla a fost conceput pentru a ajuta la obținenerea și folosirea documentelor sensibile și a altor fișiere de interes pentru conturile Dropbox, controlate de grupul rusesc de hacking.

„Tehnica atacurilor și detaliile tehnice ale descoperirii consolidează și mai mult percepția că grupul Turla are resurse considerabile pentru a opera un arsenal atât de mare și divers. Mai mult, Crutch este capabil să ocolească unele straturi de securitate, abuzând de infrastructura legitimă – în cazul de față, Dropbox – pentru a se amesteca în traficul normal de rețea, în timp ce exportă documentele furate și primește comenzi de la operatorii săi.”
Matthieu Faou, specialist ESET, într-un raport recent

Grupul rusesc Turla APT (urmărit și sub numele de Waterbug și VENOMOUS BEAR) a fost în spatele campaniilor de furt de informații și de spionaj începând cu 1996

Cercetătorii ESET au reușit să asocieze Crutch cu grupul rusesc Turla, pe baza asemănărilor cu atacul Gazer (alias WhiteBear), pe care hackerii l-au făcut între 2016 și 2017. Legăturile aproape identice dintre cele două atacuri au fost observate de ESET.

„Având în vedere aceste elemente și faptul că familiile de programe malware Turla nu sunt cunoscute ca fiind împărțite între diferite grupuri, credem că Crutch este o familie de programe malware care face parte din arsenalul Turla”, a adăugat Faou.

De asemenea, pe baza marcajelor de timp a peste 500 de arhive ZIP care conțin documente furate și încărcate în conturile Dropbox ale Turla, între octombrie 2018 și iulie 2019, programul de lucru al operatorilor Crutch se aliniază cu fusul orar rusesc.

Primele versiuni ale Crutch (între 2015 și mijlocul anului 2019) au folosit pe post de canale backdoor pentru a comunica cu contul Dropbox codat prin intermediul API-ului HTTP oficial și pentru a conduce instrumente de monitorizare care au căutat și arhivat documente ca arhive criptate.

În total, de-a lungul campaniilor lor de spionaj, Turla a compromis mii de sisteme aparținând guvernelor, ambasadelor, precum și facilități de educație și cercetare din peste o sută de țări.

Mai mult, Turla este principalul suspect din spatele atacurilor care vizează Pentagonul și NASA, Comandamentul Central al SUA și Ministerul de Externe finlandez.

Grupul de hacking a intrat, de asemenea, în sistemele unei entități guvernamentale europene nedezvăluite, folosind o combinație de troieni de administrare la distanță (RAT) actualizați recent, potrivit unui raport din octombrie publicat de Accenture Cyber ​​Threat Intelligence (ACTI).