ESET saugumo ekspertai atliko tyrimą, kaip nusikaltėliai vilioja aukas įsidiegti kenksmingas programas, šnipinėjančias jautrius duomenis.
Ilgą laiką „Turla“ naudojo socialinę inžineriją, kad nieko neįtariantys vartotojai įsidiegtų fiktyvią „Adobe Flash Player“ programą. Dabar grupuotė prie galinių durų kenkėjo prideda legalų „Flash Player“ diegimo failą ir naudoja URL nuorodas ir IP adresus, atitinkančius oficialią „Adobe“ infrastruktūrą. Tad neatidūs vartotojai, į kuriuos taikosi šnipinėtojai, patiki, kad siunčiasi legalią programą iš adobe.com.
ESET tyrėjai pabrėžia, kad nėra žinoma, ar grupuotės „Turla“ naudojami kenkėjai yra sugadinę kokius nors legalius „Flash Player“ naujinimus, taip pat nėra jokių sąsajų su žinomais „Adobe“ produkto pažeidžiamumais. Oficialus „Adobe Flash Player“ atsisiuntimo puslapis taip pat nebuvo pažeistas.
Esminis skirtumas, kurio nepastebėjo šnipų aukos – visi fiktyvūs „Flash Player“ atsisiuntimai buvo vykdomi iš http://, o ne https:// puslapio.
„Žinomų gamintojų vardų ir logotipų naudojimas nusikalstamoje veikloje nėra naujiena – tokius metodus dažniausiai pasitelkia kibernetiniai sukčiai, siekiantys apgauti neatidžius vartotojus. Šiuo atveju apgaulės schema buvo gerokai sudėtingesnė – nusikaltėliai naudojo absoliučiai identiškas ir oficialias „Adobe“ URL nuorodas bei IP adresus. Jei toks kenksmingų programų platinimo metodas būtų taikomas visiems vartotojams, o ne vien konkretiems taikiniams, įvyktų stambi kibernetinė ataka“, – pranešime žiniasklaidai komentuoja ESET programinės įrangos platintojos „Baltimax“ pardavimų vadovas Deividas Pelenis.
Apytiksliai nuo 2016 m. liepos „Turla“ naudoja naują įrankį – galinių durų kenkėją „Mosquito“. Manoma, kad kenkėjas yra sukurtas pačios grupuotės, nes turi panašumų su kitomis nusikaltėlių platinamomis kenksmingomis programomis.
Tyrėjų nuomone, šnipinėjimo grupuotė galėjo naudoti kelis metodus, kaip užkrėsti taikinių kompiuterius. Atakų vektoriais galėjo būti kuris nors organizacijos viduje esantis kompiuteris, į kurį įsilaužus buvo galima pasiekti norimos aukos kompiuterį, taip pat tinklo vartai (angl. gateway), per kuriuos galima perimti išeinantį ir įeinantį srautą.
Taip pat interneto srautas galėjo būti perimtas interneto paslaugų tiekėjų lygyje – tokį metodą naudojo anksčiau tirta šnipinėjimo programa „FinFisher“. Neatmetama galimybė, kad „Turla“ galėjo nulaužti „Adobe“ IP ir nukreipti srautą į savo valdomus serverius, nors tokiu atveju kenksmingą veiklą būtų iškart nustačiusi pati „Adobe“.
Aukoms atsisiuntus nusikaltėlių platinamą „Flash“ kompiuteryje įdiegiamas ir vienas iš galinių durų kenkėjų – dažnu atveju „Mosquito“, kuris leidžia ištraukti jautrius duomenis: kompiuterio unikalų ID, vartotojo vardą ir įrenginyje įdiegtų apsaugos sprendimų sąrašą.
„Mosquito“ yra sudėtinga kenksminga programa, kuri gadina operacinės sistemos registrą ir sukuria valdymo paskyrą, leidžiančią nuotolinę prieigą prie užkrėsto kompiuterio. Tuo tarpu pagrindinis programišių naudojamas galinių durų kenkėjas „CommanderDLL“ naudoja šifravimo algoritmą ir gali vykdyti kompiuteryje iš anksto numatytus veiksmus.
„Norėdami įsitikinti, ar nėra jūsų kompiuterio „tamsiajame kampelyje“ pasislėpęs koks nors kenkėjas, kaip „Mosquito“, ir siekdami sumažinti tikimybę įsilaužėliams patekti į įmonės kompiuterių tinklą, būtina kompiuteriuose naudoti ne bazines antivirusinių programų versijas, o sudėtingesnes, turinčias įeinančio ir išeinančio duomenų srauto ugniasienes, bei stebinčias vidinio tinklo būklę“, – teigia ESET Lietuva IT inžinierius Ramūnas Liubertas.
Pasak R. Liuberto, apsisaugoti nuo bet kokių kenkėjiškų programų galima tik nuolat atnaujinant operacinę sistemą ir visų trečiųjų šalių programinę įrangą, ypač „Java“, „Microsoft Office“ ir „Adobe Reader“. Rekomenduojama nediegti programinės įrangos iš nepatikimų internetinių šaltinių, ypač iš naršyklėje iššokančių langų (angl. pop-up).
Derėtų būti atsargiems su el. laiškais, gautais iš nežinomų šaltinių ir turinčių įtartinus priedus ar nuorodas. Svarbu įsitikinti, ar naudojama antivirusinė programa turi galiojančią licenciją ir yra visiškai veikianti – su nuolat atsinaujinančia virusų atpažinimo duomenų baze ir aktyviais apsaugos komponentais.