Nový škodlivý kód, kterým se kybernetická skupina Turla snaží získávat citlivé informace z ambasád a konzulátů ve východoevropských zemích, objevil ESET. K útoku je zneužívána údajná instalace přehrávače Adobe Flash Player z internetových stránek společnosti Adobe, spolu s kterou si oběť stáhne i sledovací malware (detekujeme jej jako Win32/Turla.CP a Win32/Turla). K infikaci samotné oficiální stránky Adobe nedošlo.
Kromě škodlivého kódu si oběť na svoje zařízení nainstaluje také funkční Flash Player. ESET zároveň vylučuje, že by Turla útočila přímo na Adobe. Soustředí se výhradně na zařízení s operačními systémy Windows a MacOS. Členové skupiny Turla používají řadu sofistikovaných postupů k tomu, aby navedli své oběti ke stáhnutí zdánlivě pravého softwaru. Zároveň jsou úspěšní v tom, jak dokáží skrýt škodlivý přenos dat. České republice se zatím tato kampaň vyhýbá, ale nelze vyloučit, že zasáhne i tuzemské ambasády.
ESET doporučuje organizacím, aby ve své síti zakázaly stahování spustitelných souborů přes nešifrované připojení
Přesný způsob, jak Turla v tomto případě infikovala své oběti, nezná ani ESET
V úvahu připadá více možností, včetně Man-in-the-Middle útoku se zneužitím již infikovaného zařízení v síti dotčené organizace, zneužití internetového providera nebo odchytávání internetového toku dat přes infikovanou síťovou gateway. I ti nejzkušenější uživatelé ale mohou být přesvědčeni k tomu, aby si stáhli škodlivý kód. Ten totiž vypadá, jako by pocházel ze stránky Adobe.com, protože URL a IP adresy napodobují legitimní infrastrukturu společnosti Adobe.
Jelikož se všechna zachycená stáhnutí tohoto malwaru uskutečnila přes HTTP, ESET doporučuje organizacím, aby ve své síti zcela zakázaly stahování spustitelných souborů přes nešifrované připojení. To by výrazně snížilo efektivitu útoků skupiny Turla, protože je mnohem těžší odchytit a pozměnit zašifrovaný přenos dat na cestě mezi zařízením a vzdáleným serverem. Zkontrolování podpisu souboru by zároveň mělo potvrdit, zda se děje něco podezřelého. Tyto škodlivé soubory totiž nejsou podepsané, na rozdíl od legitimních instalací od Adobe.
ESET přisuzuje tuto škodlivou kampaň skupině Turla hned ze dvou důvodů. Za prvé falešná instalace Adobe Flash Player oběti nainstaluje na počítač i backdoor Mosquito, který už byl v minulosti odchycen jako škodlivý kód skupiny Turla. Za druhé některé z řídících serverů napojených na backdoory používají SATCOM IP adresy, které byly v minulosti spojované s Turlou. Navíc tento škodlivý kód je podobný jiným vzorkům škodlivých kódů, které tato skupina používala.