EnglishPortugueseSpanish

O grupo hacker russo, conhecido como ‘Turla’, vinha utilizando o Dropbox para armazenar dados roubados de alvos de alto padrão, em campanhas de disseminação de malware executadas entre 2015 e 2020. Dentre as vítimas, destaca-se o Ministério de Relações Exteriores de um país europeu não divulgado.

Os hackers usavam um framework até então desconhecido, que foi apelidado de “Crutch” (“Muleta”, na tradução do inglês para o português). Essa ferramenta permitia que o Turla criasse backdoors e extraísse dados e outras informações sensíveis, enviando-as diretamente a contas do Dropbox controladas por membros do grupo.

publicidade
turla
Gráfico divulgado pela Eset mostra o volume de atividades do grupo hacker Turla, mostrando relação com o fuso-horário russo (Imagem: Eset/Divulgação)

“A sofisticação dos ataques e detalhes técnicos desta descoberta reforçam a percepção de que o ‘Turla’ tem recursos consideráveis para operar um arsenal tão grande e diversificado”, disse Matthieu Farou, pesquisador de segurança digital da Eset, que relatou a descoberta do Crutch em um relatório técnico.

“Mais além, o Crutch é capaz de contornar algumas camadas de segurança ao abusar de infraestruturas legítimas — neste caso, o Dropbox — a fim de se camuflar dentro do tráfego normal de rede ao mesmo tempo em que extrai documentos roubados e recebe comandos de seus operadores”, continuou Farou.

Relação com outros golpes

Os pesquisadores da Eset ainda foram capazes de determinar uma relação do Crutch com outros ataques de método similar – especificamente, o backdoor originado pelo framework conhecido como “White Bear” (“Urso Branco”), que foi empregado em invasões entre 2016 e 2017.

Em termos técnicos, ambos os frameworks utilizam a mesma chave RC4 para remover a criptografia de arquivos de ataque, com nomes de arquivos idênticos sendo dispersados na mesma máquina afetada em setembro de 2017, além de caminhos bastante similares serem empregados em ambos os métodos.

publicidade

“Considerando estes elementos e o fato de que a família de malwares do ‘Turla’ não é compartilhada por diferentes grupos, nós acreditamos que a Crutch é uma framework de malware que compõe parte do arsenal do grupo hacker russo”, disse Farou.

Turla
Um diagrama que mostra a ordem de acontecimentos dos sistemas invadidos pelos hackers russos do Turla: grupo especializou-se na invasão de máquinas previamente comprometidas e métodos pouco ortodoxos de ataque (Imagem: ESET/Divulgação)

O pesquisador ainda aponta para outro fato interessante: mais de 500 arquivos de extensão “.zip”, contendo documentos roubados e publicados nas contas do Dropbox controladas pelo grupo entre 2018 e 2019, apresentam datas de publicação e manipulação de três horas à frente do consenso mundial de horário (o Meridiano de Greenwich, ou “UTC”). Esse fuso-horário é o mesmo da Rússia.

Pela forma como a Eset relatou, o Crutch é um método de “segunda invasão” empregado pelo grupo hacker Turla. Basicamente, esse framework é empregado em máquinas previamente comprometidas por outros ataques. Atualmente em sua quarta versão, segundo a empresa de segurança, o Crutch é dotado de capacidades remotas e automatização de tarefas, o que permite uma abordagem sem intervenção direta por parte dos hackers: o malware identifica dados e os extrai, fazendo o upload para o Dropbox – tudo isso automaticamente.

O Turla também é conhecido em relatórios de segurança por outros nomes: “Waterbug” e “Venomous Bear” são algumas das alcunhas usadas para se referir ao grupo, que tem responsabilidade atribuídas a campanhas de invasão de sistemas governamentais de mais de 100 países, desde pelo menos 1996.

Este grupo é o principal suspeito nas invasões promovidas no Pentágono e na Nasa (fim dos anos 1990), bem como o Comando Central Norte-americano (agosto de 2010) e o Ministério de Assuntos Exteriores da Finlândia (meados de 2013). O Turla é conhecido por empregar métodos pouco comuns em seus ataques: eles já controlaram malwares por meio de comentários em fotos da cantora Britney Spears no Instagram e costumeiramente criam trojans (“cavalo-de-tróia”, no termo técnico) usando APIs próprias.

Fonte: Eset