Η τελευταία έκδοση του Kazuar backdoor, που χρησιμοποιείται από τους Ρώσους hackers Turla, θα μπορούσε να είναι πιο εξελιγμένη απ’ ό,τι πιστεύεται, σύμφωνα με την Palo Alto Networks.

Το συγκεκριμένο backdoor χρησιμοποιήθηκε από τους Ρώσους hackers εναντίον του ουκρανικού αμυντικού τομέα τον Ιούλιο του 2023.

Ερευνητές της Palo Alto βρήκαν κάποια άγνωστα μέχρι τώρα χαρακτηριστικά της τελευταίας παραλλαγής του Kazuar. Το Kazuar είναι ένα .NET backdoor που χρησιμοποιεί η Turla ως payload δεύτερου σταδίου, που παραδίδεται μαζί με άλλα εργαλεία.

Κάποια από τα πιο σημαντικά χαρακτηριστικά του backdoor που ανακάλυψαν οι ερευνητές, είναι:

  • Λειτουργίες κατά της ανίχνευσης
  • Λειτουργίες κατά της ανάλυσης
  • Εκτεταμένες δυνατότητες δημιουργίας προφίλ συστήματος
  • Στόχευση εφαρμογών cloud

Η τελευταία έκδοση του Kazuar backdoor υποστηρίζει επίσης περισσότερες από 40 ξεχωριστές εντολές. Οι μισές από αυτές έγιναν γνωστές τώρα.

Δείτε επίσης: Flipper Zero: Οι επιθέσεις Bluetooth spam μεταφέρθηκαν σε νέα εφαρμογή Android

Τα νέα χαρακτηριστικά δείχνουν σημαντικές βελτιώσεις στη δομή και τη λειτουργικότητα του κώδικα του Kazuar.

Σύμφωνα με τους ερευνητές, η αναβάθμιση δίνει ιδιαίτερη έμφαση στην ικανότητα για μυστική λειτουργία, αποφυγή εντοπισμού και αποτροπή προσπαθειών ανάλυσης.

Kazuar Backdoor

Το Kazuar backdoor αναπτύχθηκε και χρησιμοποιείται από τη ρωσική ομάδα Turla. Ανακαλύφθηκε για πρώτη φορά το 2017 από τους ερευνητές της Unit 42 της Palo Alto.

Το Kazuar έχει εντοπιστεί σε επιθέσεις λίγες φορές και στοχεύει κυρίως οργανισμούς στον κυβερνητικό και στρατιωτικό τομέα στην Ευρώπη. Πριν από το ξέσπασμα του πολέμου στην Ουκρανία, το Kazuar είχε εντοπιστεί στα τέλη του 2020. Ωστόσο, οι αναφορές υποδεικνύουν ότι το backdoor είναι υπό συνεχή ανάπτυξη.

Τον Ιούλιο του 2023, το CERT-UA ανέφερε ότι μια ολοκαίνουργια έκδοση του Kazuar χρησιμοποιήθηκε ως μέρος μιας εκστρατείας πολλαπλών σταδίων, που στοχεύει τον ουκρανικό αμυντικό τομέα. Το Kazuar χρησιμοποιήθηκε μαζί με άλλα εργαλεία.

Δείτε επίσης: Κυβερνοκατασκοπεία: Οι Ιρανοί hackers Scarred Manticore στοχεύουν οργανισμούς στη Μέση Ανατολή

Turla hackers

Η ρωσική ομάδα Turla είναι γνωστή και ως Pensive Ursa, Uroboros, Venomous Bear, Waterbug και UNC4210. Είναι μια εξαιρετικά εξελιγμένη ομάδα, που λειτουργεί τουλάχιστον από το 2004, και στοχεύει κυρίως στην κατασκοπεία και τη συλλογή πληροφοριών.

Η ομάδα συνδέεται με τη Ρωσική Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB).

Βρίσκεται πίσω από μια σειρά επιθέσεων κυβερνοκατασκοπείας εναντίον εταιρειών στους τομείς της τεχνολογίας, της φαρμακευτικής, της πολιτικής και του εμπορίου.

Η ομάδα είναι γνωστή για τη χρήση εξελιγμένων κακόβουλων προγραμμάτων και τεχνικών, συμπεριλαμβανομένων custom backdoors, rootkits και keyloggers.

Δείτε επίσης: Arid Viper στοχεύουν χρήστες Android με spyware

Στο στόχαστρό της έχουν βρεθεί σημαντικοί οργανισμοί, συμπεριλαμβανομένου του Υπουργείου Εξωτερικών των ΗΠΑ, του Υπουργείου Ενέργειας των ΗΠΑ και του Υπουργείου Εξωτερικών της Γαλλίας.

Η ανακάλυψη αυτών των νέων χαρακτηριστικών επηρεάζει σημαντικά το τοπίο της κυβερνοασφάλειας. Οι επιθέσεις ομάδων APT (Advanced Persistent Threat) είναι πολύ επικίνδυνες.

Οι νέες λειτουργίες που αποκαλύφθηκαν στο backdoor Kazuar προκαλούν ανησυχία για την ασφάλεια των συστημάτων. Απαιτείται αντίδραση από την κοινότητα της κυβερνοασφάλειας. Οι ερευνητές και οι εταιρείες ασφάλειας πρέπει να ενημερωθούν για αυτές τις νέες λειτουργίες και να αναπτύξουν μέτρα προστασίας για την ανίχνευση και αντιμετώπιση του Kazuar. Επίσης, οι οργανισμοί και οι επιχειρήσεις πρέπει να αναλύσουν τις επιπτώσεις αυτών των νέων λειτουργιών στην ασφάλεια των συστημάτων τους και να λάβουν τα αναγκαία μέτρα για την προστασία των ευαίσθητων δεδομένων τους.

Πηγή: www.infosecurity-magazine.com