|
|
הדלת האחורית LunarWeb, שמוטמעת בשרתים, משתמשת בפרוטוקול HTTP(S) לתקשורת, שליטה ובקרה תוך התחזות לבקשות לגיטימיות, בזמן ש-LunarMail, שמוטמעת בתחנות עבודה, פועלת כתוסף ל-Outlook ומשתמשת בהודעות דוא״ל לתקשורת, שליטה ובקרה. שתי הדלתות האחוריות משתמשות בסטגנוגרפיה, טכניקה בה פקודות מוסתרות בקבצי תמונה כדי למנוע את זיהוין. קבצי הטעינה שלהן יכולים להתקיים בצורות שונות, כמו למשל תוכנות קוד-פתוח המודבקות בסוס-טרויאני, מה שממחיש את הטכניקות המתקדמות בהן משתמשים התוקפים.
״זיהינו רמות שונות של מורכבות בפריצות השונות, כמו ההתקנה הקפדנית על השרת שנפרץ כדי להימנע מזיהוי של תוכנות אבטחה, ומהצד השני שגיאות בכתיבת קוד וסגנונות שונים של כתיבת קוד בדלתות האחוריות. זה מצביע על כך שייתכן שאנשים נפרדים היו מעורבים בפיתוח והפעלת הכלים האלה״, מסביר פיליפ יורצ׳אקו, חוקר ESET שגילה את מערך הכלים Lunar.
מרכיבים שונים של תוכנות ההתקנה ופעולות של התוקף שהצלחנו לשחזר, מצביעים על כך שייתכן שהפריצה הראשונית קרתה באמצעות קמפיין פישינג ממוקד (Spearphishing) וניצול של הגדרות שגויות של הרשת ושל תוכנת ניטור האפליקציות Zabbix. בנוסף לכך, לתוקף כבר הייתה גישה לרשת; הוא השתמש בסיסמאות גנובות כדי לנוע בתוך הרשת ונקט צעדים זהירים כדי להשיג גישה לשרת מבלי לעורר חשד. בפריצה אחרת, החוקרים איתרו מסמך Word זדוני ישן, שסביר להניח ששימש כחלק מדיוג ממוקד.
|
|
|
הדלת האחורית LunarWeb אוספת ומדליפה מידע מהמערכת, כמו מידע על המחשב ומערכת ההפעלה, רשימת התהליכים הפועלים בו, רשימת שירותי Windows שמוגדרים בו ורשימה של מוצרי אבטחה המותקנים בו. LunarWeb תומכת בפעולות סטנדרטיות של דלתות אחוריות, כמו פעולות בקבצים ובתהליכים והפעלת פקודות Shell. בהרצה הראשונית, הדלת האחורית LunarMail אוספת מידע מהודעות הדוא״ל היוצאות של הקורבן (כתובות דוא״ל של נמענים). מבחינת יכולות השליטה, LunarMail היא פשוטה יותר ומשתמשת בחלק קטן יותר משלל הפקודות של LunarWeb. הדלת האחורית יכולה לכתוב לקובץ, ליצור תהליך חדש, לצלם צילום מסך ולשנות את כתובת הדוא״ל המשמשת לשליטה ובקרה. לשתי הדלתות האחוריות יש יכולת חריגה - הרצת סקריפטים של Lua.
קבוצת Turla, המוכרת גם בשם Snake, פעילה החל משנת 2004 לפחות, וייתכן שהחלה לפעול כבר בסוף שנות ה-90. הקבוצה, שלפי ההערכות משמשת כחלק ממנגנון ה-FSB הרוסי, ממקדת את מתקפותיה לישויות בפרופיל גבוה כמו ממשלות וארגונים דיפלומטיים באירופה, מרכז אסיה והמזרח התיכון. הקבוצה ידועה בפריצה לארגונים משמעותיים, כמו משרד ההגנה האמריקני בשנת 2008 וחברת ההגנה השוויצרית RUAG בשנת 2014.
|
|