Den russisk-tilknyttede APT-hackergruppe Turla har brugt et tidligere udokumenteret malware-værktøjssæt, der hedder Crutch, i spionagekampagner mod højt profilerede mål – blandt andet et udenrigsministerium i et EU-land.
Turla-gruppen, der også er kendt under navnene Snake, Uroburos, Waterbug, Venomous Bear og KRYPTON, har siden 2007 udført cyberangreb rettet mod diplomatiske og offentlige organisationer og private virksomheder i både Mellemøsten, Asien, Europa, Nord- og Sydamerika samt tidligere sovjetiske nationer.
Listen over ofre er lang og inkluderer sikkerhedsorganisationer som det schweiziske forsvarsfirma RUAG, US Department of State og US Central Command.
Langfingret værktøj overfører dokumenter
Crutch trækker følsomme data fra ofrene og overfører dem til en bagmands Dropbox-konti.
Sikkerhedsvirksomheden ESET, har undersøgt værktøjet, og skriver i en rapport:
”Under vores forskning var vi i stand til at identificere stærke forbindelser mellem en Crutch-dropper fra 2016 og Gazer.”
Gazer – eller WhiteBear, som den også kaldes – er en bagdør i anden fase, som ESET forbandt Turla-hackerne med allerede tilbage i 2016.
En bagdør er en metode til at omgå normal godkendelse eller kryptering i en computer eller et system.
Når en bagdør er i anden fase, involverer det download og installation af bagdørsscriptet. I første fase installeres dropperen.
Sikkerhedsvirksomheden konstaterer altså, at ”Crutch er i stand til at misbruge legitim infrastruktur - her Dropbox - for at blande sig i normal netværkstrafik, mens den frigør stjålne dokumenter og modtager kommandoer fra sine operatører.”
Det ser ifølge ESET ud til, at gruppen har anvendt Crutch siden 2015 og frem til omkring starten af 2020.
