Telecom News - דווח על פעילות קבוצת התקיפה Turla נגד מגזרים שונים באירופה

דווח על פעילות קבוצת התקיפה Turla נגד מגזרים שונים באירופה

דף הבית >> חדשות אבטחה ועולם הסייבר >> דווח על פעילות קבוצת התקיפה Turla נגד מגזרים שונים באירופה
דווח על פעילות קבוצת התקיפה Turla נגד מגזרים שונים באירופה
מאת: מערכת Telecom News, 4.12.17, 21:24תקיפה

הפעילות בוצעה ע"י 2 פוגענים, שמכונים ניורון (Neuron) ונאוטילוס(Nautilus) . פוגענים אלה זוהו בנוסף לפוגען הוותיק והמוכר של קבוצת תקיפה זו המכונה.Snake  פירוט דרך הפעולה.

דווח, שלאחרונה נחשפה פעילותה של קבוצת התקיפה Turla נגד מספר מגזרים וביניהם המגזר הממשלתי, הטכנולוגיה, האנרגיה וארגונים מסחריים במדינה אירופית. הפעילות בוצעה באמצעות 2 פוגענים, שמכונים ניורון (Neuron)  ונאוטילוס.(Nautilus)  פוגענים אלה זוהו בנוסף לפוגען הוותיק והמוכר של קבוצת תקיפה זו המכונה .Snake

הפוגענים ניורון ונאוטילוס משמשים לגניבת מידע ומורכבים מרכיב שרת (Server) ורכיב לקוח (Client).
 
רכיב הלקוח מותקן על המחשבים המותקפים ברשת, ומתקשר רק עם רכיב השרת.
 
רכיב השרת מתקשר עם שרתי ה- C&Cבאינטרנט. כך, שיש מקור בודד לתעבורה חשודה, ויותר קשה לאתר אותה.
 
השרת עצמו יותקן בדרך כלל על גבי שרת WEB או שרת דוא"ל מבוססי מערכת הפעלה  Windows (שרתי Exchangeו-IIS), שלאור תפקידם מתקשרים עם כתובות שונות ברשת האינטרנט כדי להסוות את התעבורה לשרתי ה-C&C. עם זאת, רכיב השרת יכול להיות מותקן גם על מחשב משתמש ברשת.
 
התקשורת בין הלקוח לשרת, מבוצעת בד"כ באמצעות HTTP. הפורט בשימוש הוא בד"כ 443 אך לעיתים 80 והתעבורה מוצפנת באמצעות RC4. נצפו מספר דגימות של ניורון המתקשרות בנוסף באמצעות PIPES (תקשורת בין תחנות ברשת, בדומה ל- SMB).
 
רכיב השרת של ניורון יותקן בד"כ באמצעות תקיפה ישירה של שרתי ה- WEB או הדוא"ל, שמנצלת פגיעויות ביישום, בהגדרת השרת או באמצעות תקיפת Brute Force של סיסמאות המנהלנים לשרת.
 
בסיום ההתקנה משנה הפוגען את חתימת הזמן עבור גישה אחרונה לקובץ (last access time) לזמן המוגדר עבור הקובץ הלגיטימי EdgeTransport.exe. כדי לשמור על אחיזה ביעד, רכיב השרת יגדיר עצמו כשירות (Service) מאותחל אוטומטית.
 
רכיב הלקוח של ניורון מותקן באמצעות דוא"ל בדיוג ממוקד, עם צרופה המכילה Macros ומתקינה את הפוגען. הרכיב שומר אחיזה בעמדה באמצעות הגדרת פעולה מתוזמנת (scheduled task), שמופעלת כל 12 דקות.
 
הפוגען נאוטילוס פועל בצורה דומה לניורון, מתקין עצמו בד"כ על שרתי דוא"ל, ומסווה את התעבורה אל השרת כחיפוש לגיטימי במנוע החיפוש Bing.
 
כלים אלה נצפו במקרים מסוימים במסגרת אותה תקיפה יחד עם כלי בשם Snake/Uroburos, שהוא כלי תקיפה מוכר של אותה קבוצה. הקבוצה פועלת בד"כ באמצעות מספר כלים שונים נגד יעד תקיפה מסוים. זאת, כדי להבטיח ככל האפשר אחיזה ביעד גם אם כלי מסוים נחשף.
 
פרטים נוספים לגבי פוגענים אלה ניתן למצוא - כאן.
 
NordVPN



 
 
Bookmark and Share