Beveiligingsbedrijf ESET heeft een backdoor ontdekt die het zelf de naam Gazer heeft gegeven. De malware zou door de Turla-groep worden gebruikt om ambassades en ministeries van Buitenlandse Zaken binnen te dringen, vooral in Zuidoost-Europese en voormalige Sovjetlanden.
Volgens het bedrijf is de malware in ieder geval sinds 2016 in gebruik, maar is deze tot nu toe niet ontdekt. Dat komt door de manier waarop de kwaadaardige software detectie ontwijkt, bijvoorbeeld door bestanden op een veilige manier te verwijderen en verschillende strings toe te passen in uiteenlopende versies van de malware. ESET zegt er redelijk zeker van te zijn dat Gazer het werk is van de Turla-groep, die eerder satellietverbindingen bleek te kapen en in verband wordt gebracht met Rusland.
Daarvoor zijn verschillende aanwijzingen, bijvoorbeeld de keuze voor doelwitten als ambassades. Ook de manier van het infecteren van systemen zou naar Turla wijzen. Hierbij wordt eerst via gerichte phishingmails een first stage backdoor verstuurd, waarna deze de tweede, moeilijker te detecteren backdoor binnenhaalt. De eerste backdoor, Skipper genaamd, zou eerder door de groep zijn ingezet en werd in de meeste gevallen samen met Gazer aangetroffen.
Bovendien zijn er veel overeenkomsten tussen Gazer en andere Turla-tools, zoals Carbon en Kazuar, aldus ESET in een uitgebreidere analyse. Zo zijn ze bijvoorbeeld geschreven in C++ en maken ze allemaal gebruik van versleutelde communicatie met een command-and-controlserver. De groep gebruikt voornamelijk overgenomen legitieme WordPress-sites als proxies voor communicatie met de c2-server. Turla bleek volgens ESET eerder Instagram-commentaar voor c2-communicatie in te zetten.
Een opvallend aspect is dat er gebruik wordt gemaakt van zelfgemaakte encryptie, die niet voortkomt uit een publieke bibliotheek of leunt op de Windows-api. Via de c2-server kan de backdoor verschillende commando’s via http-verzoeken ontvangen, zoals het uploaden en downloaden van bestanden, het aanpassen van de configuratie en het uitvoeren van een commando. Voordat er een poging wordt gedaan om met de server contact te maken, controleert Gazer of er internettoegang is door de servers van onder meer Google en Microsoft te bezoeken.
Een ander detail is dat de laatste versie van Gazer strings bevat die verwijzen naar jargon uit games. Zo komt de tekst ‘only single player is allowed’ voor in de code, wat volgens ESET een poging tot humor is. De onderzoekers zeggen niet hoeveel doelwitten door Gazer zijn getroffen.
Bron: Tweakers