מחקר: קבוצת התקיפה המזוהה עם רוסיה עוקבת אחר דיפלומטים אירופאים ותוקפת אותם

למאמר הבא
ESET

מחקר חדש של ESET חושף שתי דלתות אחוריות שלא היו מוכרות עד
כה - LunarWeb ו-LunarMail, אשר שימשו לפריצה למשרד יחסי חוץ אירופאי ולצוותים הדיפלומטיים שלו ברחבי העולם, בעיקר במזרח התיכון.

ESET מאמינים כי מערך הכלים Lunar נמצא בשימוש משנת 2020 לפחות, ועל בסיס קווי דמיון בטקטיקות, הטכניקות, התהליכים והפעולות הקודמות, החוקרים משייכים את הפריצות האלה במידת ביטחון בינונית לקבוצת ריגול הסייבר הידועה לשמצה Turla, שמזוהה עם רוסיה. מטרת הקמפיין הזה היא ריגול סייבר.

המחקר של ESET החל בזיהוי של תוכנת טעינה שהועלתה לשרת לא מזוהה, שמצפין ומפענח קבצי הפעלה בתוך ומתוך קבצים אחרים. זה הוביל את חוקרי ESET לחשיפת דלת אחורית שלא הייתה מוכרת עד כה וכונתה על ידי החוקרים בשם LunarWeb. לאחר מכן זוהתה שרשרת דומה ונחשפה הדבקה ב-LunarWeb אצל צוות דיפלומטי.
נציין כי התוקף השתיל דלת אחורית נוספת, אותה ESET כינתה בשם LunarMail, שמשתמשת בשיטה אחרת להעברת תקשורת שליטה ובקרה. במהלך מתקפה אחרת, ESET זיהתה הדבקות מקבילות ב-LunarWeb בשלושה צוותים דיפלומטיים של מדינה אירופאית שפועלים במזרח התיכון, כשהתקיפות היו במרווח של דקות בודדות בין תקיפה לתקיפה. סביר להניח כי לתוקף כבר הייתה גישה ל-Domain Controller של אותו משרד יחסי חוץ, ושהוא השתמש בו כדי לנוע הצידה למחשבים אחרים של גופים הקשורים למשרד יחסי החוץ ומחוברים לאותה הרשת.

הדלת האחורית LunarWeb, שמוטמעת בשרתים, משתמשת בפרוטוקול HTTP(S) לתקשורת, שליטה ובקרה תוך התחזות לבקשות לגיטימיות, בזמן ש-LunarMail, שמוטמעת בתחנות עבודה, פועלת כתוסף ל-Outlook ומשתמשת בהודעות דוא״ל לתקשורת, שליטה ובקרה. שתי הדלתות האחוריות משתמשות בסטגנוגרפיה, טכניקה בה פקודות מוסתרות בקבצי תמונה כדי למנוע את זיהוין. קבצי הטעינה שלהן יכולים להתקיים בצורות שונות, כמו למשל תוכנות קוד-פתוח המודבקות בסוס-טרויאני, מה שממחיש את הטכניקות המתקדמות בהן משתמשים התוקפים.

״זיהינו רמות שונות של מורכבות בפריצות השונות, כמו ההתקנה הקפדנית על השרת שנפרץ כדי להימנע מזיהוי של תוכנות אבטחה, ומהצד השני שגיאות בכתיבת קוד וסגנונות שונים של כתיבת קוד בדלתות האחוריות. זה מצביע על כך שייתכן שאנשים נפרדים היו מעורבים בפיתוח והפעלת הכלים האלה״, מסביר פיליפ יורצ׳אקו, חוקר ESET שגילה את מערך הכלים Lunar.

מרכיבים שונים של תוכנות ההתקנה ופעולות של התוקף שהצלחנו לשחזר, מצביעים על כך שייתכן שהפריצה הראשונית קרתה באמצעות קמפיין פישינג ממוקד (Spearphishing) וניצול של הגדרות שגויות של הרשת ושל תוכנת ניטור האפליקציות Zabbix. בנוסף לכך, לתוקף כבר הייתה גישה לרשת; הוא השתמש בסיסמאות גנובות כדי לנוע בתוך הרשת ונקט בצעדים זהירים כדי להשיג גישה לשרת מבלי לעורר חשד. בפריצה אחרת, החוקרים איתרו מסמך Word זדוני ישן, שסביר להניח ששימש כחלק מקמפיין פישינג ממוקד.

הדלת האחורית LunarWeb אוספת ומדליפה מידע מהמערכת, כמו מידע על המחשב ומערכת ההפעלה, רשימת התהליכים הפועלים בו, רשימת שירותי Windows שמוגדרים בו ורשימה של מוצרי אבטחה המותקנים בו.
LunarWeb תומכת בפעולות סטנדרטיות של דלתות אחוריות, כמו פעולות בקבצים ובתהליכים והפעלת פקודות Shell. בהרצה הראשונית, הדלת האחורית LunarMail אוספת מידע מהודעות הדוא״ל היוצאות של הקורבן (כתובות דוא״ל של נמענים). מבחינת יכולות השליטה, LunarMail היא פשוטה יותר ומשתמשת בחלק קטן יותר משלל הפקודות של LunarWeb. הדלת האחורית יכולה לכתוב לקובץ, ליצור תהליך חדש, לצלם צילום מסך ולשנות את כתובת הדוא״ל המשמשת לשליטה ובקרה. לשתי הדלתות האחוריות יש יכולת חריגה – הרצת סקריפטים של Lua.

קבוצת Turla, המוכרת גם בשם Snake, פעילה החל משנת 2004 לפחות, וייתכן שהחלה לפעול כבר בסוף שנות ה-90. הקבוצה, שלפי ההערכות משמשת כחלק ממנגנון ה-FSB הרוסי, ממקדת את מתקפותיה לישויות בפרופיל גבוה כמו ממשלות וארגונים דיפלומטיים באירופה, מרכז אסיה והמזרח התיכון. הקבוצה ידועה בפריצה לארגונים משמעותיים, כמו משרד ההגנה האמריקאי בשנת 2008 וחברת ההגנה השוויצרית RUAG בשנת 2014.

דוגמה של הודעת הסתננות עם נתונים המוחבאים בתוך תמונה