Cyberprzestępcza grupa Turla ponownie zaatakowała. Tym razem celem ataku stały się placówki dyplomatyczne i ambasady z Europy Wschodniej. Eksperci z ESET jako pierwsi odkryli nowy rodzaj narzędzia, które nakłaniało dyplomatów do zainstalowania złośliwego oprogramowania i wydobyło od nich poufne informacje. W ataku wykorzystano fałszywą aplikację Flash Player, dostarczoną z oryginalnej strony Adobe. Eksperci z firmy ESET zidentyfikowali kolejne złośliwe oprogramowanie wykorzystywane przez
grupę cyberprzestępczą Turlę, która w przeszłości, co najmniej od 2016 roku, wykradała informacje z konsulatów, ambasad oraz jednostek militarnych na całym świecie. O rosyjskich cyberprzestępcach było głośno dzięki atakom wykonywanych za pomocą komercyjnych satelitów oraz złośliwego oprogramowania, które wysyłało wiadomości mailowe do konkretnych osób z danej instytucji, w celu zainfekowania ich komputerów.
Na czym polega atak?
Jak poinformowali w tym tygodniu eksperci z ESET, grupa Turla wykorzystała w najnowszym ataku fałszywy instalator Adobe Flash Playera – dobrze znaną wtyczkę do przeglądarek, umożliwiającą m.in. wyświetlanie animacji na stronach WWW. Co ciekawe, złośliwy instalator miał być pobierany z oficjalnego i legalnego źródła tj. z adresu get.adobe.com. Podczas nawiązywania połączenia dochodziło jednak do przekierowania ruchu na serwer kontrolowany przez cyberprzestępców.
W jaki sposób? Na ten moment brak jednoznacznych danych, by udzielić odpowiedzi, natomiast istnieje co najmniej kilka możliwych sposobów technicznej realizacji takiego przekierowania, m.in. poprzez przejęcie serwera domenowego operatora, dostarczającego ofiarom połączenie z Internetem lub poprzez urządzenie sieciowe, np. router dostarczający Internet samej ofierze. Cały atak ukierunkowano na dyplomatów krajów Europy Wschodniej.
– Wykorzystanie prawdziwych stron do dystrybucji złośliwego oprogramowania oraz kradzieży danych sprawia, że wykrycie takiej aktywności jest trudniejsze niż zwykle. Nawet ostrożni użytkownicy mogą zostać oszukani podczas pobierania złośliwego instalatora – komentuje Kamil Sadkowski, analityk zagrożeń ESET.
W dalszej fazie infekcji złośliwa aplikacja pobierała z serwera cyberprzestępców zagrożenie, które realizowało główny cel ataku – infiltrację danych z komputera i kradzież znajdujących się na nim informacji, nazwy użytkownika, czy stosowane rozwiązanie antywirusowe. Po tym wszystkim zagrożenie instalowało na komputerze prawdziwe i bezpieczne oprogramowanie Adobe Flash Player. Pracownicy ESET są przekonani, że atak grupy Turla nie naruszył bezpieczeństwa oryginalnej aplikacji Flash Playera, ani też nie jest powiązany z lukami w oprogramowaniu Adobe.
Jak ochronić się przed podobnym atakiem?
Wprawdzie atak grupy cyberprzestępczej Turla dotyczył dyplomatów z Europy Wschodniej, ale podobne zdarzenia mogą dotyczyć każdego internauty. We wspomnianym przypadku, aby uchronić się przed instalacją fałszywego Flash Playera, należy pobierać go wyłącznie za pośrednictwem szyfrowanego połączenia.
– Można je sprawdzić w przeglądarce, w polu wpisywania adresu strony WWW. Jeśli połączenie jest szyfrowane, to pojawia się zielona kłódka (protokół HTTPS) – tłumaczy Kamil Sadkowski.
Warto również sprawdzić podpis cyfrowy pliku instalacyjnego (można to zrobić klikając we „Właściwości” pliku, a następnie w opcję „Podpis cyfrowy”) – ten prawdziwy powinien być oznaczony przez Adobe.