În timp ce grupul Turla s-a bazat pe programe de instalare false pentru a determina utilizatorii să instaleze în trecut un backdoor, aceasta este prima dată când programul rău intenționat este descărcat din URL-urile aparent legitim legate de Adobe. ESET are totuși încredere că programul malware Turla nu a compromis în nici un fel actualizările legale ale Flash Player și nici nu este asociat cu vreo vulnerabilitate cunoscută a produsului Adobe.
Analiza abuzului făcut asupra Adobe Flash
După ce a monitorizat îndeaproape grupul Turla pentru o lungă perioadă de timp, ESET a constatat că acest cod malware nu numai că este împachetat cu un instalator legitim Flash Player, dar, de asemenea, pare să fie trimis din partea adobe.com. Din perspectiva endpoint-ului, adresa IP remote aparține Akamai, rețeaua oficială de livrare a conținutului (CDN) utilizată de Adobe pentru a distribui programul legitim de instalare Flash.
Cu toate acestea, la o inspecție mai atentă, ESET a putut vedea că acest Flash installer fals execută o solicitare GET pentru a extrage informații sensibile din noile sistemele compromise. Telemetria ESET a dezvaluit că programele de instalare Turla au extras informații în relație cu url-ul get.adobe.com încă din iulie 2016. Folosirea domeniilor legitime pentru subtilizarea datelor face ca detectarea lor în traficul de rețea să fie mult mai dificilă pentru sistemele de protecție.
"Operatorii Turla au multe metode sofisticate prin care încearcă să determine utilizatorii să descarce software-ul de atac (presupus de victime autentic) și sunt inteligenți în modul în care ascund traficul de date rău intenționat pe care îl derulează", a declarat Jean-Ian Boutin, cercetător senior la ESET. "Chiar și cei mai experimentați utilizatori ar putea fi păcăliți să descarce un fișier rău intenționat, care pare a fi trimis din partea Adobe.com, deoarece adresa URL și IP imită infrastructura legitimă a Adobe. Întrucât toate descărcările pe care le-am văzut au fost efectuate pe HTTP, recomandăm organizațiilor să interzică descărcarea fișierelor executabile printr-o conexiune necriptată. Aceasta ar reduce în mod semnificativ eficacitatea atacurilor lui Turla, deoarece este mai greu să interceptezi și să modifici traficul criptat dintre o mașină și un server de la distanță. În al doilea rând, verificarea semnăturii fișierului ar trebui să confirme dacă se întâmplă ceva suspect, dat fiind că aceste fișiere rău intenționate nu sunt semnate, iar programele de instalare de la Adobe sunt. Implementarea unor astfel de măsuri ar trebui să ajute utilizatorii să evite să devină victime ale ultimei campanii Turla.".
Dovada implicării grupului Turla
ESET este sigur că această campanie este corect atribuită grupului Turla din mai multe motive. În primul rând, unele module false de instalare Flash conțin un backdoor numit Mosquito, care a fost deja detectat ca malware de tip Turla. În al doilea rând, unele servere de comandă și control (C & C) legate de backdoor-urile infiltrate folosesc adresele IP SATCOM asociate anterior cu Turla. În final, acest program malware are multe asemănări cu alte familii malware utilizate de grupul Turla.