Olhar Digital > Notícias > Grupo hacker russo ‘Turla’ armazenava dados roubados no Dropbox

Grupo hacker russo ‘Turla’ armazenava dados roubados no Dropbox

Hackers do Turla contavam com apoio do governo russo e instalavam backdoors para roubar documentos sensíveis de alvos, como políticos europeus, entre 2015 e 2020
Por Rafael Arbulu, editado por Liliane Nakagawa 04/12/2020 13h06, atualizada em 04/12/2020 14h27
Hacker
Imagem: ozrimoz/Shutterstock
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Siga o Olhar Digital no Google Discover

O grupo hacker russo, conhecido como ‘Turla’, vinha utilizando o Dropbox para armazenar dados roubados de alvos de alto padrão, em campanhas de disseminação de malware executadas entre 2015 e 2020. Dentre as vítimas, destaca-se o Ministério de Relações Exteriores de um país europeu não divulgado.

Ofertas
Smartwatch, HUAWEI WATCH GT 5 Pro 46mm, Cerâmica e Titânio, Monitoramento Esportivo Profissional, Mapas de campos de golfe, Até 2 Semanas de Bateria, Compatível com iOS e Android, Preto
Vendido por Amazon
Smartwatch, HUAWEI WATCH GT 5 Pro 46mm, Cerâmica e Titânio, Monitoramento Esportivo Profissional, Mapas de campos de golfe, Até 2 Semanas de Bateria, Compatível com iOS e Android, Preto
De: R$ 1.895,00
Por: R$ 1.439,90
Mouse Gamer Redragon King Lite Preto Sensor PAW3313 10000 DPI
Vendido por Amazon
Mouse Gamer Redragon King Lite Preto Sensor PAW3313 10000 DPI
De: R$ 142,35
Por: R$ 117,64
Rack 1,33 mt para TV até 60" com estrutura usinada MDF 15mm THEO cor Cinamomo/Off White - Artely
Vendido por Amazon
Rack 1,33 mt para TV até 60" com estrutura usinada MDF 15mm THEO cor Cinamomo/Off White - Artely
Por R$ 317,61
ULANZI VL119 BASTÃO DE LUZ PORTÁTIL, Luz LED RGB 360° para Fotografia e Gravação de Vídeo, Bateria 2600mAh Recarregável, Tubo de Luz 2500-9000K Ajustável com LCD
Vendido por Amazon
ULANZI VL119 BASTÃO DE LUZ PORTÁTIL, Luz LED RGB 360° para Fotografia e Gravação de Vídeo, Bateria 2600mAh Recarregável, Tubo de Luz 2500-9000K Ajustável com LCD
De: R$ 154,00
Por: R$ 123,20
Mochila Executiva Unissex para Notebook até 15.6” - com Entrada USB e Passa-fio para fone – Ideal para Faculdade, Trabalho e Viagens – Antifurto, Reforçada e Confortável - Masculina e Feminina (Preto)
Vendido por Amazon
Mochila Executiva Unissex para Notebook até 15.6” - com Entrada USB e Passa-fio para fone – Ideal para Faculdade, Trabalho e Viagens – Antifurto, Reforçada e Confortável - Masculina e Feminina (Preto)
Por R$ 38,90
Samsung Notebook Galaxy Book4, Windows 11 Home, Intel® Core™ 5, 16GB, 512GB SSD, NVIDIA® GeForce® MX570, 15.6'' Full HD LED, FingerPrint - Grafite
Vendido por Amazon
Samsung Notebook Galaxy Book4, Windows 11 Home, Intel® Core™ 5, 16GB, 512GB SSD, NVIDIA® GeForce® MX570, 15.6'' Full HD LED, FingerPrint - Grafite
Por R$ 5.399,00
Caixa de Som 2.1 14w RMS USB Conexão P2 Controle de Volume Preto - SP172
Vendido por Amazon
Caixa de Som 2.1 14w RMS USB Conexão P2 Controle de Volume Preto - SP172
De: R$ 119,90
Por: R$ 89,90
Cabo de carregamento e cabo de transferência de dados da série Baseus Cafule, USB-A e Lightning 1.5 A, 2 Meter, cinza - preto
Vendido por Amazon
Cabo de carregamento e cabo de transferência de dados da série Baseus Cafule, USB-A e Lightning 1.5 A, 2 Meter, cinza - preto
Por R$ 45,90
Fonte Carregador Para Notebook Acer Aspire 5 A514-54 A515-54 A315-34 19v 3,42A 65W Plug 3.0x1.1mm Pino Fino Bivolt com Cabo de Força
Vendido por Amazon
Fonte Carregador Para Notebook Acer Aspire 5 A514-54 A515-54 A315-34 19v 3,42A 65W Plug 3.0x1.1mm Pino Fino Bivolt com Cabo de Força
Por R$ 78,90
Nobreak Interativo XNB 600VA 220V Preto Intelbras
Vendido por Amazon
Nobreak Interativo XNB 600VA 220V Preto Intelbras
De: R$ 536,90
Por: R$ 313,50
Nobreak Interativo ATTIV 700VA Bivolt Preto Intelbras
Vendido por Amazon
Nobreak Interativo ATTIV 700VA Bivolt Preto Intelbras
De: R$ 560,00
Por: R$ 475,87
Adaptador USB-C para HDMI 4K, USB 3.0 e Carga PD - Compatibilidade com MacBook, Thunderbolt 3 e DEX Android - Eleva Sua Experiência Multimídia Oferece Carga Rápida Vende Mais
Vendido por Amazon
Adaptador USB-C para HDMI 4K, USB 3.0 e Carga PD - Compatibilidade com MacBook, Thunderbolt 3 e DEX Android - Eleva Sua Experiência Multimídia Oferece Carga Rápida Vende Mais
De: R$ 24,90
Por: R$ 23,65
Teclado Magnético Gamer Redragon Kumara PRO K552RGB USB RGB Preto Switch Marrom
Vendido por Amazon
Teclado Magnético Gamer Redragon Kumara PRO K552RGB USB RGB Preto Switch Marrom
De: R$ 330,05
Por: R$ 235,28
Lápis de Cor Ecolápis Triangular Jumbo 12 Cores + 2 Lápis Jumbo 2B, Faber-Castell
Vendido por Amazon
Lápis de Cor Ecolápis Triangular Jumbo 12 Cores + 2 Lápis Jumbo 2B, Faber-Castell
De: R$ 46,00
Por: R$ 36,22
Microsoft Xbox Wireless Controller Storm Breaker Special Edition - Wireless & Bluetooth Connectivity - New Hybrid D-Pad - New Share Button - Featuring Textured Grip
Vendido por Amazon
Microsoft Xbox Wireless Controller Storm Breaker Special Edition - Wireless & Bluetooth Connectivity - New Hybrid D-Pad - New Share Button - Featuring Textured Grip
Por R$ 598,99
Carregador Portátil (Power Bank) 20000Mah Turbo 22.5w Carregamento Ultra Rápido PD Visor Led com 2 Saídas Compatível com Android e IOS (Preto)
Vendido por Amazon
Carregador Portátil (Power Bank) 20000Mah Turbo 22.5w Carregamento Ultra Rápido PD Visor Led com 2 Saídas Compatível com Android e IOS (Preto)
Por R$ 89,49

Os hackers usavam um framework até então desconhecido, que foi apelidado de “Crutch” (“Muleta”, na tradução do inglês para o português). Essa ferramenta permitia que o Turla criasse backdoors e extraísse dados e outras informações sensíveis, enviando-as diretamente a contas do Dropbox controladas por membros do grupo.

turla
Gráfico divulgado pela Eset mostra o volume de atividades do grupo hacker Turla, mostrando relação com o fuso-horário russo (Imagem: Eset/Divulgação)

“A sofisticação dos ataques e detalhes técnicos desta descoberta reforçam a percepção de que o ‘Turla’ tem recursos consideráveis para operar um arsenal tão grande e diversificado”, disse Matthieu Farou, pesquisador de segurança digital da Eset, que relatou a descoberta do Crutch em um relatório técnico.

“Mais além, o Crutch é capaz de contornar algumas camadas de segurança ao abusar de infraestruturas legítimas — neste caso, o Dropbox — a fim de se camuflar dentro do tráfego normal de rede ao mesmo tempo em que extrai documentos roubados e recebe comandos de seus operadores”, continuou Farou.

Relação com outros golpes

Os pesquisadores da Eset ainda foram capazes de determinar uma relação do Crutch com outros ataques de método similar – especificamente, o backdoor originado pelo framework conhecido como “White Bear” (“Urso Branco”), que foi empregado em invasões entre 2016 e 2017.

Em termos técnicos, ambos os frameworks utilizam a mesma chave RC4 para remover a criptografia de arquivos de ataque, com nomes de arquivos idênticos sendo dispersados na mesma máquina afetada em setembro de 2017, além de caminhos bastante similares serem empregados em ambos os métodos.

“Considerando estes elementos e o fato de que a família de malwares do ‘Turla’ não é compartilhada por diferentes grupos, nós acreditamos que a Crutch é uma framework de malware que compõe parte do arsenal do grupo hacker russo”, disse Farou.

Turla
Um diagrama que mostra a ordem de acontecimentos dos sistemas invadidos pelos hackers russos do Turla: grupo especializou-se na invasão de máquinas previamente comprometidas e métodos pouco ortodoxos de ataque (Imagem: ESET/Divulgação)

O pesquisador ainda aponta para outro fato interessante: mais de 500 arquivos de extensão “.zip”, contendo documentos roubados e publicados nas contas do Dropbox controladas pelo grupo entre 2018 e 2019, apresentam datas de publicação e manipulação de três horas à frente do consenso mundial de horário (o Meridiano de Greenwich, ou “UTC”). Esse fuso-horário é o mesmo da Rússia.

Pela forma como a Eset relatou, o Crutch é um método de “segunda invasão” empregado pelo grupo hacker Turla. Basicamente, esse framework é empregado em máquinas previamente comprometidas por outros ataques. Atualmente em sua quarta versão, segundo a empresa de segurança, o Crutch é dotado de capacidades remotas e automatização de tarefas, o que permite uma abordagem sem intervenção direta por parte dos hackers: o malware identifica dados e os extrai, fazendo o upload para o Dropbox – tudo isso automaticamente.

O Turla também é conhecido em relatórios de segurança por outros nomes: “Waterbug” e “Venomous Bear” são algumas das alcunhas usadas para se referir ao grupo, que tem responsabilidade atribuídas a campanhas de invasão de sistemas governamentais de mais de 100 países, desde pelo menos 1996.

Este grupo é o principal suspeito nas invasões promovidas no Pentágono e na Nasa (fim dos anos 1990), bem como o Comando Central Norte-americano (agosto de 2010) e o Ministério de Assuntos Exteriores da Finlândia (meados de 2013). O Turla é conhecido por empregar métodos pouco comuns em seus ataques: eles já controlaram malwares por meio de comentários em fotos da cantora Britney Spears no Instagram e costumeiramente criam trojans (“cavalo-de-tróia”, no termo técnico) usando APIs próprias.

Fonte: Eset

Redator(a)
Rafael Arbulu no Facebook Rafael Arbulu no Instagram Rafael Arbulu no Twitter Rafael Arbulu no LinkedIn Rafael Arbulu no Youtube

Jornalista formado pela Universidade Paulista, Rafael é especializado em tecnologia, cultura pop, além de cobrir a editoria de Ciências e Espaço no Olhar Digital. Em experiências passadas, começou como repórter e editor de games em diversas publicações do meio, e também já cobriu agenda de cidades, cotidiano e esportes.

Redator(a)

Liliane Nakagawa é redator(a) no Olhar Digital

Ícone tagsTags: