Pesquisadores de segurança da ESET publicaram uma nova pesquisa (em inglês) que detalha o que aparentemente pode ser uma nova faceta das atividades do Turla, o notório grupo de ciberespionagem que vem sendo acompanhado desde o início deste ano. Desta vez, descobriram um backdoor usado para espionar consulados e embaixadas em todo o mundo.

A equipe da ESET é a primeira em documentar este backdoor, chamado "Gazer". A evidência encontrada indica que o malware foi ativamente usado em ataques direcionados contra governos e diplomatas desde, pelo menos, 2016.

O sucesso do Gazer pode ser explicado tendo em conta os métodos avançados que usa para espionar os alvos pretendidos e a capacidade de persistência em dispositivos infectados, se escondendo para roubar informações durante longos períodos.

Gazer conseguiu infectar uma série de computadores em todo o mundo, embora a maioria das vítimas sejam da Europa

Os pesquisadores da ESET descobriram que o Gazer conseguiu infectar uma série de computadores em todo o mundo, embora a maioria das vítimas sejam da Europa.

Curiosamente, ao analisar de forma detalhada as diferentes campanhas de espionagem utilizadas pelo Gazer, foi possível identificar que o principal alvo parece ter sido a parte sul da Europa oriental e alguns países da antiga União Soviética.

Apesar de não existirem fortes evidências que este backdoor pertença ao Turla, os ataques possuem todas as características de campanhas anteriores do grupo, veja a seguir:

  • As organizações alvo são embaixadas, consulados e ministérios;
  • As campanhas de spear phishing (phishing direcionado) propagam um backdoor como o Skipper;
  • É introduzido um segundo backdoor mais sigiloso (Gazer neste caso, mas exemplos anteriores ​​incluíram o Carbon e o Kazuar);
  • O segundo backdoor recebe instruções criptografadas do grupo através de servidores C&C, usando sites legítimos comprometidos como um proxy.

Também foi possível identificar outra semelhança notável entre o Gazer e as criações anteriores do grupo Turla, que se manifestou durante a análise do malware: Gazer usa esforços extras para evitar a detecção, alterando strings em seu código e eliminando arquivos.

No exemplo mais recente encontrado pela ESET, existem evidências claras de que alguém modificou a maioria das strings e inseriu frases relacionadas a videogames ao longo de seu código:

No entanto, não se deixe enganar com o senso de humor que o grupo Turla está mostrando aqui: ser vítima de cibercriminosos não é nenhuma brincadeira.

Todas as organizações, sejam governamentais, diplomáticas, de aplicação da lei, ou empresas tradicionais, precisam levar a sério as atuais ameaças sofisticadas e adotar uma defesa em camadas para reduzir as chances de uma brecha em seus sistemas.

Saiba mais sobre o Gazer no paper da ESET (em inglês): “Gazing at Gazer: Turla’s new second stage backdoor”: