Tutkijat löysivät venäläisen takaportin

Onnistui piilottelemaan virustutkilta. Jäljet johtavat Turla-hakkeriryhmään.

Artikkeliin liittyvä kuva
Artikkeliin liittyvä kuva

Venäjän valtion sponsoroimat hakkerit ovat käyttäneet vuoden sisällä uutta haittaohjelmaa takaporttina järjestelmiin Yhdysvalloissa, Saksassa ja Afganistanissa.

Bleepingcomputer uutisoi, että Turla APT -ryhmän haittaohjelmasta käytetään nimeä TinyTurla sen rajallisen toiminnallisuuden ja simppelin koodaustyylin vuoksi. Se on onnistunut livahtamaan virusskannerien läpi osittain juuri yksinkertaisuutensa ansiosta.

Cisco Talosin tietoturvatutkijat kertovat, että haittaohjelmaa on käytetty jo ainakin vuonna 2020. He huomasivat, että ohjelma käytti samaa infrastruktuuria kuin Turla APT:n aiemmat hyökkäykset ja arvasivat sen perusteella tekijät. Ryhmän iskuja on havaittu jo ainakin vuodesta 2014 lähtien.

Afganistanissa ohjelmaa on käytetty maan aiemman hallinnon urkkimiseen.

Talos arvioi raportissaan, että ohjelma toimii toisen asteen takaporttina: jos ensimmäinen reitti paljastuu ja poistetaan, on hyökkääjillä toinen keino jatkaa järjestelmään tunkeutumista.

Haittaohjelma esittää Windows Time Serviceä (w32time.dll) ja asentui .bat-tiedostosta muodossa w64time.dll.

LÄHDE: TIVI/Suvi Korhonen 22.09.2021