Turla: Ruska hakerska grupa protiv antivirus programa

Turla, jedna od najnaprednijih ruskih hakerskih grupa, pročula se kada je u oktobru 2019. počela sa modifikovanjem Chrome-a i Firefox-a na pogođenim uređajima, a namera je bila da se dalje prati enkriptovani saobraćaj.

Tim napadača je  tom prilikom akciju počinjao tako što je pogođeni sistem inficirao trojancima koji su omogućavali preuzimanje kontrole nad uređajima, a potom se prelazilo na modifikovanje pretraživača, i to tako što su prvo instalirani sertifikati kako bi lakše premostio kriptografski protokol (TLS) koji je dizajniran da čuva bezbednost i privatnost komunikacije. Napadači su nakon toga nastavljali da prate enkriptovanu komunikaciju koja se obavlja preko pogođenih sistema, čak i kada su trojanci uklonjeni iz pogođenih sistema.

Turla i dalje aktivna

Turla se sada fokusira i na antivirus programe, a kroz nove napade koji su počeli u januaru 2020. godine, i to uz pomoć ComRAT malvera koji je obogaćen novim funkcijama. ComRAt je poznat i kao Agent.BTZ, i predstavlja jedno od najstarijih oružja hakerske grupe Turla, budući da je korišćen još u napadu na Pentagon 2008. godine. Tokom godina je dobio nekoliko ažuriranja, a 2014. i 2017. su se pojavile i nove verzije.

Kontrola preko Gmail inbox-a

Najnovija verzija, pod imenom ComRAT v4, se prvi put pojavila upravo 2017, a sada je dobila dve nove funkcije, te ima mogućnost da se igra sa antivirus logovima, i da malver kontroliše preko Gmail inboxa. Prva opcija tako omogućava prikupljanje logova antivirus programa sa inficiranog uređaja, a pretpostavlja se da služi da se što preciznije analiziraju podaci o tome koje varijante malvera antivirus programi najčešće detektuju. Zahvaljujući tome napadači mogu da prepravljaju svoje maliciozne alate, i tako otežaju detekciju.

Mete grupe Turla su uglavnom vladine agencije, te ministarstva i druge osetljive lokacije, pa se zbog toga ova grupa smatra velikim rizikom za nacionalnu bezbednost različitih zemalja, najpre Sjedinjenih Američkih Država.

Izvor: ZDNet