Backdoor controlado por email é usado para espionar instituições governamentais

Os pesquisadores da ESET investigaram um backdoor controlado por email usado pelo grupo Turla (também conhecido como Snake ou Uroboros) para desviar comunicações sensíveis de autoridades em pelo menos três países europeus.

O grupo tem implantado a ferramenta há anos e a lista de vítimas de alto perfil é maior do que se acreditava anteriormente.

Entre os alvos está o gabinete do Ministério das Relações Exteriores da Alemanha, onde o grupo Turla implantou o backdoor em vários computadores e o usou para roubar informações durante praticamente todo o ano de 2017.

De fato, em um primeiro momento eles comprometeram a rede da Escola Nacional de Administração Pública da Alemanha como parte de uma etapa prévia, para finalmente conseguir acessar à rede do Ministério das Relações Exteriores em março de 2017. Apenas ao final desse mesmo ano foi que os serviços de segurança alemães detectaram o vazamento, o qual se tornou de conhecimento público em março de 2018.

Vale ressaltar que a investigação da ESET constatou que, além dessa falha de segurança publicamente conhecida, o grupo usou o mesmo backdoor para abrir um canal de acesso de forma secreta nos escritórios de Relações Exteriores de outros dois países europeus, bem como na rede de um contratante de defesa.

Essas organizações são as mais recentes a se juntarem à lista de vítimas desse grupo que vem realizando ataques contra instituições governamentais, escritórios estaduais, diplomatas e autoridades militares desde, pelo menos, 2008.

Backdoor controlado por email é usado para espionar instituições governamentais

A versão mais recente do backdoor, que foi descoberta em abril de 2018, incorpora a capacidade de executar scripts maliciosos do PowerShell diretamente na memória do computador – uma tática que diferentes atores relacionados ao cibercrime vêm implementando nos últimos anos.

Os usos mais recentes do backdoor foram direcionados ao Microsoft Outlook, embora suas versões mais antigas também fossem direcionadas ao serviço de email The Bat!, que é usado principalmente em países do Leste Europeu. Deve-se observar que os operadores do Turla não exploram nenhuma vulnerabilidade nos leitores de arquivos PDF ou Microsoft Outlook (dois possíveis vetores de ataque). Geralmente, o backdoor altera a Interface de Programação de Aplicativos de Mensagens (MAPI, pela sigla em inglês) do Microsoft Outlook para acessar o e-mail do alvo de ataque.

Em vez de usar uma infraestrutura convencional de comando e controle (C&C), como uma baseada em HTTP(S), o backdoor é operado através de mensagens de email, mais especificamente através de arquivos PDF especialmente projetados como anexos. O computador comprometido pode receber instruções para executar comandos diferentes, como: filtrar dados, baixar arquivos extras e executar comandos e programas adicionais. A filtragem de dados também ocorre por meio de arquivos PDF.

O backdoor, que vem em forma de DLL (Dynamic Link Library) e pode ser colocado em qualquer lugar do disco rígido está instalado usando um utilitário do Windows legítimo (RegSvr32.exe). Enquanto isso, a persistência é alcançada pela manipulação do registro do Windows, que acaba sendo o mais frequente ao comprometer os sistemas Windows. Neste caso, o Turla conta com uma técnica popular conhecida como “COM object hijacking”. Isso garante que toda vez que o Microsoft Outlook for executado, o backdoor será ativado.

Quando a vítima envia ou recebe um email, o malware gera um log que contém metadados da mensagem, incluindo os do remetente, destinatário, assunto e o nome do anexo. Em geral, os logs estão agrupados com outros dados e são transmitidos aos operadores do Turla através de um documento PDF especialmente projetado que é anexado a um email.

Além disso, o backdoor verifica em cada email recebido a presença de um PDF que pode comportar os comandos do invasor. Na verdade, a ameaça aceita comandos de qualquer pessoa que possa codificá-los em um documento PDF. Como resultado, aqueles que estão por trás do Turla são capazes de recuperar o controle do backdoor enviando um comando desde qualquer endereço de email se um dos seus endereços de email codificados (mas atualizáveis) for bloqueado. O nível de resiliência do backdoor contra possíveis quedas é semelhante ao de um rootkit que, ao inspecionar o tráfego de entrada para a rede, atende aos comandos de seus operadores.

Embora os pesquisadores da ESET não tenham conseguido obter qualquer amostra de um PDF que contém os comandos atuais do backdoor, o conhecimento sobre seu processo de trabalho lhes permitiu gerar um documento PDF com as ordens que o backdoor pode interpretar e executar.

Mestre Jedi Backdoor controlado por email é usado para espionar instituições governamentais
Execução dos comandos especificados no documento PDF

Informações mais detalhadas sobre o backdoor controlado por email estão disponíveis no documento publicado aqui pela ESET. O documento está disponível em inglês e no formato PDF.

Fonte: Blog WeLiveSecurity da ESET Brasil

O post Backdoor controlado por email é usado para espionar instituições governamentais apareceu primeiro em BABOO.

Artigo original:
www.baboo.com.br