Il gruppo di hacker Turla ruba i log degli antivirus per vedere se il malware è stato rilevato
26 Maggio 2020 - Tempo di lettura: 7 minuti
Turla, uno dei gruppi di hacker più avanzati della Russia, ha creato malware che esegue i loro ordini da allegati e-mail inviati a una casella di posta Gmail arbitraria.
Ricercatori di sicurezza di ESET hanno scoperto nuovi attacchi compiuti da Turla, uno dei gruppi di hacking sponsorizzati dallo stato, più avanzati della Russia.
I nuovi attacchi hanno avuto luogo nel gennaio 2020. I ricercatori di ESET affermano che gli attacchi hanno colpito tre entità di alto profilo, come un parlamento nazionale nel Caucaso e due ministeri degli affari esteri nell'Europa orientale. Gli obiettivi non possono essere identificati per nome per motivi di sicurezza nazionale.
Queste intrusioni rappresentano le ultime voci di un lungo elenco di vittime, la maggior parte delle quali include entità diplomatiche e militari.
Questo elenco è iniziato a metà degli anni 2000 con il Pentagono e ha continuato nel corso degli anni con obiettivi in Europa, Medio Oriente, Asia e Africa.
Gli attacchi del gennaio 2020, tuttavia, si sono distinti a causa dell'implementazione di una versione aggiornata del malware ComRAT, che secondo ESET conteneva alcune nuove funzionalità piuttosto intelligenti.
Il malware ComRAT , noto anche come Agent.BTZ, è una delle armi più antiche di Turla e quella utilizzata per sottrarre dati dalla rete del Pentagono nel 2008 .
Lo strumento ha visto diversi aggiornamenti nel corso degli anni, con nuove versioni scoperte nel 2014 e 2017, rispettivamente.
L'ultima versione, nota come ComRAT v4, è stata vista per la prima volta nel 2017, tuttavia, in un rapporto pubblicato oggi, ESET afferma di aver individuato una variante di ComRAT v4 che include due nuove funzionalità, come la possibilità di esfiltrare i registri antivirus e il capacità di controllare il malware utilizzando una casella di posta Gmail.
La prima di queste funzionalità è la capacità del malware di raccogliere registri antivirus da un host infetto e caricarlo su uno dei suoi server di comando e controllo.
I motivi esatti di un gruppo di hacker rimarranno sempre poco chiari, ma Matthieu Faou, il ricercatore ESET che ha analizzato il malware, ha detto a ZDNet che gli operatori Turla potrebbero raccogliere registri antivirus per "consentire loro di capire meglio se e quale dei loro campioni di malware era rilevato."
La convinzione è che se gli operatori Turla vedono un rilevamento, possono quindi modificare il loro malware ed evitare rilevamenti futuri su altri sistemi, dove possono quindi operare senza essere rilevati.
Faou afferma che il malware che ruba i registri è comune, ma è sempre difficile per i soccorritori rilevare il comportamento.
"Il fatto è che in genere è difficile determinare quali file sono stati esfiltrati dagli aggressori", ci ha detto Faou. "Ma per gruppi relativamente avanzati, non è raro cercare di capire se vengono rilevati o se lasciano tracce dietro di loro o no."
