קבוצת התקיפה "טורלה" משתמשת בממשק של Gmail כדי לשלוט מרחוק על מחשבים

למאמר הבא
ESET

חוקרי חברת אבטחת המידע ESET חשפו, גרסה חדשה לאחת ממשפחות הנוזקות הוותיקות המנוהלות על ידי קבוצת התקיפה טורלה, הדלת האחורית ComRAT. טורלה, הידועה גם בשם Snake, היא קבוצת ריגול סייבר ידועה לשמצה הפועלת למעלה מעשור.

התכונה המעניינת ביותר של הגרסה העדכנית של הדלת האחורית היא השימוש שלה בממשק המשתמש של Gmail לקבלת פקודות ולסינון נתונים. ComRAT גונבת מסמכים רגישים, ומאז 2017 היא תקפה לפחות שלושה מוסדות ממשלתיים. ESET מצאה אינדיקציות לכך שהגרסה האחרונה של ComRAT הייתה עדיין בשימוש בתחילת 2020, מה שמראה שקבוצת טורלה עדיין פעילה מאוד ומהווה איום גדול עבור דיפלומטים וצבאות.

השימוש העיקרי ב-ComRAT הוא גניבת מסמכים מסווגים. באחד המקרים, מפעיליה אף החדירו קובץ הרצה שנכתב בשפת התכנות .NET אשר יצר אינטראקציה עם מסד הנתונים של שרת ה-SQL המרכזי של הקורבן המכיל את מסמכי הארגון. מפעילי התוכנה הזדונית השתמשו בשירותי ענן ציבוריים כמו OneDrive ו- shared4 כדי לגנוב מידע. הדלת האחורית העדכנית של טורלה יכולה לבצע פעולות נוספות במחשבים נפגעים, דוגמת הפעלת תוכנות נוספות וגניבת קבצים.

העובדה שהתוקפים מנסים להתחמק מתוכנות אבטחה מדאיגה. "זה מעיד על רמת התחכום הגבוהה של הקבוצה ואת כוונתה להישאר באותם מחשבים זמן רב", מסביר מתיו פו, שחוקר את הקבוצה הידועה לשמצה מזה מספר שנים. "בנוסף, בזכות השימוש בממשק האינטרנט של Gmail, הגרסה האחרונה של משפחת התוכנות הזדוניות ComRAT, מסוגלת לעקוף כמה מנגנוני אבטחה משום שהיא אינה נשענת דומיין זדוני כלשהו אשר עלול להיחסם ע"י האנטי וירוס", אומר פו.

השדרוג לדלת האחורית התגלה לראשונה על ידי ESET בשנת 2017. היא משתמשת בבסיס קוד חדש לחלוטין ומורכב בהרבה מקודמיו. השימוש האחרון בדלת האחורית שראו חוקרי ESET בוצע בנובמבר של השנה שעברה.

"על סמך הקורבנות ודגימות התוכנות הזדוניות האחרות שנמצאו באותן מכונות פגועות, אנו מאמינים ש- ComRAT נמצא בשימוש אך ורק ע"י טורלה", אומר פו.

ComRAT, הידועה גם בשם Agent.BTZ, היא דלת אחורית זדונית שנחשפה לאחר השימוש בה בפריצה לרשת המחשבים של צבא ארה"ב בשנת 2008. הגרסה הראשונה של תוכנה זדונית זו, שוחררה ככל הנראה בשנת 2007, והציגה יכולות של נוזקות מסוג תולעת על ידי התפשטות באמצעות כוננים נשלפים.

את המאמר המלא תוכלו לקרוא כאן