ESET ontdekt Turla Crutch aanvallen op ministerie van Buitenlandse Zaken in EU-land

Next story

Misbruik van Dropbox in cyberspionage

Sliedrecht, 2 december 2020 – ESET-onderzoekers hebben een onbekende backdoor en document stealer ontdekt die wordt gebruikt voor cyberspionage. ESET heeft het programma, genaamd Crutch, kunnen toeschrijven aan de beruchte Turla APT groep. De malware was in gebruik vanaf 2015 tot in ieder geval begin 2020.

ESET vond Crutch in het netwerk van een ministerie van Buitenlandse Zaken in een land van de Europese Unie, wat suggereert dat deze malware-familie alleen wordt gebruikt als het gaat om zeer specifieke doelwitten. De tools werden ontworpen om gevoelige documenten en andere bestanden te exfiltreren naar Dropbox-accounts beheerd door Turla-operators.

"De belangrijkste kwaadwillende activiteit is exfiltratie van documenten en andere gevoelige bestanden. De verfijning van de aanvallen en de technische details van de vondst versterken de perceptie dat de Turla-groep over aanzienlijke middelen beschikt om zo'n groot en divers arsenaal te exploiteren", aldus Matthieu Faou, die als ESET-onderzoeker betrokken is bij onderzoek naar de Turla APT-groep. "Bovendien is Crutch in staat om een aantal beveiligingslagen te omzeilen door misbruik te maken van de legitieme infrastructuur - in dit geval Dropbox - om zich te mengen in het normale netwerkverkeer en tegelijkertijd gestolen documenten te exfiltreren en commando's van zijn operators te ontvangen".

Om een ruwe indicatie te hebben van de werkuren van de operators, exporteerde ESET de uren waarop ze ZIP-bestanden hebben geüpload naar de door hen beheerde Dropbox-accounts. De onderzoekers verzamelden hiervoor 506 verschillende tijdstempels, variërend van oktober 2018 tot juli 2019. Dit zou moeten aantonen wanneer de operators aan het werk waren en niet wanneer de machines van de slachtoffers operationeel waren. De operators opereren waarschijnlijk in de UTC+3-tijdzone.

Werkuren van de Crutch-operators gebaseerd op de uploads naar Dropbox

Het onderzoeksteam van ESET identificeerde sterke banden tussen een Crutch dropper uit 2016 en Gazer. De laatste, ook wel bekend als WhiteBear, is een tweetraps backdoor die in 2016-2017 door Turla werd gebruikt.

Turla is een APT groep die al meer dan 10 jaar actief is op het gebied van cyberspionage. Het heeft vele regeringen, en met name diplomatieke entiteiten, over de hele wereld gecompromitteerd door een groot malware-arsenaal te exploiteren - een arsenaal dat de afgelopen jaren door ESET is gedocumenteerd.  

Voor meer technische details over hoe Turla Crutch aanvalt en gevoelige informatie verzamelt, lees de blogpost “Turla Crutch: Keeping the ‘back door’ open” op WeLiveSecurity.com.

Over ESET
Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESET's R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en Twitter.