Az orosz állam A Turla néven ismert kalózok csoportja a Cyberpionage történetében a leginnovatívabb kalózkodás néhány kizsákmányolását végezte, elrejtve a rosszindulatú programok kommunikációját műholdas kapcsolatokban, vagy elterelve más kalózoktól való elterelést, hogy elrejtsék saját adatkivonatot. Amikor azonban a hazai gyepen működnek, kiderül, hogy ugyanolyan figyelemre méltó, de egyszerűbb megközelítést próbáltak ki, úgy tűnik, hogy az Oroszország internetes szolgáltatóinak ellenőrzését felhasználták, hogy közvetlenül a kém szoftvert ültessék a moszkvai célpontjaik számítógépére.
A Microsoft Security Research csoport a fenyegetések feltörésére összpontosított, és ma közzétette a Turla által alkalmazott új, félrevezető kémkedés technikát, amely állítólag a Kreml FSB hírszerző ügynökség részét képezi. A Csoport, más néven kígyó, mérges medve vagy a Microsoft saját neve, a Secret Blizzard, úgy tűnik, hogy az állam által az orosz FAI -hoz szankcionált hozzáférését az internetes forgalomhoz kötötte, és megtéveszti az áldozatokat, akik Moszkvában működő külföldi nagykövetségekben dolgoznak a csoport rosszindulatú programjainak telepítésében. Ez a kém szoftver ezután letiltotta a titkosítást e célok gépein úgy, hogy az interneten továbbított adatok ne legyenek titkosítva, kommunikációjukat és azonosítási adataikat, például a felhasználóneveket és a jelszavakat, amelyek teljesen ki vannak téve az ugyanazon internetszolgáltatók megfigyelésének – és minden olyan állami megfigyelő ügynökségnek, amelyben együttműködnek.
Sherrod Degrippo, a Microsoft fenyegetések hírszerzési stratégiájának igazgatója szerint a technika a kémkedés célzott hackelésének ritka keverését képviseli, valamint a tömegfigyelés régebbi és passzívabb megközelítését, amelyben a kémügynökségek összegyűjtik és átadják az internetszolgáltatók és a telekommunikáció adatait a célok nyomon követése érdekében. “Ez elmossa a határt a passzív megfigyelés és a valódi behatolás között” – magyarázza Degippo.
Az FSB kalózok e konkrét csoportjához hozzáadja a degrippo -t, és egy új hatalmas fegyverre utal az arzenáljukban, hogy bárkit megcélozzanak Oroszország határain belül. “Ez potenciálisan megmutatja, hogyan gondolják az oroszországi székhelyű telekommunikációs infrastruktúrát az eszközkészlet részeként” – mondta.
A Microsoft kutatói szerint a Turla Techique bizonyos webes keresleti böngészőket használ, amikor megfelelnek egy “fogságban tartott portálnak”, azokat a ablakokat, amelyeket leggyakrabban használnak az internet -hozzáférés fenntartására olyan paraméterekben, mint a repülőterek, repülőgépek vagy kávézók, de egyes vállalatokban és kormányzati ügynökségekben is. A Windows -ban ezek a fogva tartott portálok elérik egy bizonyos Microsoft webhelyet, hogy ellenőrizzék, hogy a felhasználó számítógépe valóban online -e. (Nem egyértelmű, hogy a Turla áldozatainak feltörésére használt foglyul ejtő portálokat valójában törvényesen használják -e a célkövetségek, vagy azokat, amelyeket Turla valamilyen módon a felhasználóknak a hacker -technikájának összefüggésében vezettek be.)
Azáltal, hogy kihasználja a külföldi internetes nagykövetség egyes munkatársait összekötő FAI -vezérlését, Turla képes volt átirányítani a célokat, hogy olyan hibaüzenetet láthassanak, amely arra ösztönözte őket, hogy töltsenek le egy frissítést böngészőjük kriptográfiai tanúsítványaiba, mielőtt hozzáférhetnének az internethez. Amikor a bizalmatlanság nélküli felhasználó egyetértett, inkább telepítette a Malware -t, amelyet a Microsoft az Apolloshadow -nak hív, amely álcázott – valami megmagyarázhatatlanul -, mint egy Kaspersky biztonsági frissítés.
Az a tény, hogy az Apolloshadow rosszindulatú programok alapvetően deaktiválják a böngésző titkosítását, csendben kiküszöbölve a kriptográfiai védelmet az összes olyan webes adatok számára, amelyeket a számítógép továbbít és fogad. A tanúsítványok viszonylag egyszerű módosítását valószínűleg nehezebb észlelni, mint egy teljes kém szoftver elem, mondja a Degrippo, miközben ugyanazt az eredményt érte el.
