Spionagegruppe Turla attackiert Außenministerium in EU-Staat
ESET-Forscher analysieren bisher unbekannte Backdoor
Jena (pts031/02.12.2020/13:45) Die bekannte APT-Gruppe Turla war wieder aktiv. ESET-Forscher haben entdeckt, dass sich die Hacker Zugriff auf das Netzwerk eines Außenministeriums eines EU-Staates verschafft haben. Zum Einsatz kam dabei ein raffiniertes Spionageprogrammnamens Crutch. Die Malware ist eine Backdoor und dient zum Diebstahl von sensiblen Dokumenten. Die Sicherheitsexperten des europäischen IT-Sicherheitshersteller fanden zahlreiche Indizien, die auf die Turla-Gruppe als Drahtzieher hindeutet. Der spezielle Einsatzort untermauert den Verdacht, dass Crutch nur gegen ganz bestimmte hochkarätige Ziele eingesetzt wird. Aufgabe des Spionageprogramms ist das Herausschleusen sensibler Dokumente und andere Dateien auf Dropbox-Konten, die von den Hackern kontrolliert werden. Ihre detaillierte Analyse von Crutch haben die ESET-Forscher nun auf dem Blog WeliveSecurity veröffentlicht.
"Die Hauptaufgrabe von Crutch ist die Exfiltration sensibler Informationen der jeweiligen Organisation. Aufgrund der Raffinesse und der technischen Details gehen wir davon aus, dass die Turla-Gruppe hinter den Angriffen steckt", erklärt Matthieu Faou, einer der beteiligten ESET-Forscher. "Darüber hinaus ist das Spionageprogramm in der Lage, einige Sicherheitssysteme zu umgehen. Die Hacker missbrauchen eine legitime Infrastruktur, in diesem Fall Dropbox, um sich in den normalen Netzwerkverkehr einzufügen. So können unbemerkt Dokumente herausgeschleust und neue Befehle von den Betreibern eingegeben werden."
Aktivität der Crutch-Malware
Um die Aktivitäten des Spionageprogramms nachvollziehen zu können, haben die ESET-Forscher überprüft, wann Zip-Dateien auf die Dropbox-Konten hochgeladen wurde. Die Grafik zeigt, dass Crutch dann am aktivsten war, wenn auch in der Zielorganisation während der allgemeinen Arbeitszeiten der höchste Netzwerkverkehr entstand. So war eine Entdeckung schwieriger.
Wer ist Turla?
Turla ist seit mehr als 10 Jahren eine aktive Cyber-Spionagegruppe. Die APT-Gruppe hat viele Regierungen, insbesondere diplomatische Einrichtungen, auf der ganzen Welt kompromittiert und betreibt ein großes Malware-Arsenal, das ESET in den letzten Jahren dokumentiert hat.
Die detaillierte Analyse haben die ESET-Forscher auf WeliveSecurity veröffentlicht: https://www.welivesecurity.com/deutsch/2020/12/02/crutch-die-naechste-turla-backdoor/
(Ende)| Aussender: | ESET Deutschland GmbH |
| Ansprechpartner: | Christian Lueg |
| Tel.: | +49 3641 3114 269 |
| E-Mail: | christian.lueg@eset.de |
| Website: | www.eset.com/de |
