Krievijas valsts Hacker Group, kas pazīstama kā Turla, ir veikusi dažus no visnovatoriskākajiem hakeru varoņdarbiem kibernoziegumu vēsturē, slēpjot viņu ļaunprātīgās programmatūras sakarus satelītu savienojumos vai nolaupot citu hakeru operācijas, lai apkopotu viņu pašu datu ieguvi. Tomēr, kad viņi darbojas uz savas mājas kūdras, izrādās, ka viņi ir izmēģinājuši tikpat ievērojamu, ja vienkārši vienkāršāku pieeju: šķiet, ka viņi ir izmantojuši savu kontroli pār Krievijas interneta pakalpojumu sniedzējiem, lai tieši stādītu spiegprogrammatūru viņu mērķu datoros Maskavā.
Microsoft drošības pētījumu komanda, kas vērsta uz hakeru draudiem, šodien publicēja a ziņot detalizēti aprakstot jauno TURLA izmantoto mānīgo spiegu paņēmienu, kas, domājams, ir daļa no Kremļa FSB izlūkošanas aģentūras. Šķiet, ka grupa, kas ir pazīstama arī kā čūska, inde lāce vai pašas Microsoft vārds Secret Blizzard, ir izmantojusi savu valsts sankcionētu piekļuvi krievu ISP, lai iejauktos ar interneta trafiku un triku upuriem, kas strādā ārvalstu vēstniecībās, kas darbojas Maskavā, lai instalētu grupas ļaunprātīgo programmatūru viņu personālajos datoros. Šī spiegprogrammatūra pēc tam atspējota šifrēšana uz šo mērķu mašīnām, lai dati, ko viņi pārsūtīja visā internetā, palika nešifrēti, atstājot savus sakarus un akreditācijas datus, piemēram, lietotājvārdus un paroles, kas ir pilnībā neaizsargātas pret to pašu ISP uzraudzību un jebkuru valsts uzraudzības aģentūru, ar kuru viņi sadarbojas.
Šerrods Degrippo, Microsoft draudu izlūkošanas stratēģijas direktors, saka, ka tehnika atspoguļo retu mērķa uzlaušanas sajaukumu spiegošanai un valdību vecākai, pasīvākai pieejai masu uzraudzībai, kurā spiegu aģentūras savāc un izsijāt, izmantojot ISP un telekomunikāciju datus uz novērošanas mērķiem. “Tas izjauc robežu starp pasīvo uzraudzību un faktisko ielaušanos,” saka DeGrippo.
Šai konkrētajai FSB hakeru grupai DeGrippo piebilst, ka tas arī ierosina jaudīgu jaunu ieroci viņu arsenālā, lai mērķētu uz ikvienu Krievijas robežu robežās. “Tas potenciāli parāda, kā viņi domā par Krievijā balstītu telekomunikāciju infrastruktūru kā daļu no sava instrumentu komplekta,” viņa saka.
Pēc Microsoft pētnieku domām, Turla tehnika izmanto noteiktu tīmekļa pieprasījumu pārlūkprogrammas, kad viņi sastopas ar “nebrīvē esošu portālu”, logus, kurus visbiežāk izmanto, lai saglabātu piekļuvi internetam tādos iestatījumos kā lidostas, lidmašīnas vai kafejnīcas, guess arī dažu uzņēmumu un valdības aģentūru iekšienē. Logos šie nebrīvē turētie portāli sazinās ar noteiktu Microsoft vietni, lai pārbaudītu, vai lietotāja dators faktiski ir tiešsaistē. (Nav skaidrs, vai nebrīvē turētie portāli, ko izmanto, lai uzlauztu Turla upurus, faktiski bija likumīgi, kurus regulāri izmantoja mērķa vēstniecības, vai tie, kurus Turla kaut kā lietotājiem uzlika kā daļu no tā uzlaušanas tehnikas.)
Izmantojot tās kontroli pār ISP, kas savieno noteiktus ārvalstu vēstniecības darbiniekus ar internetu, Turla spēja novirzīt mērķus, lai viņi redzētu kļūdas ziņojumu, kas pamudināja viņus lejupielādēt atjauninājumu sava pārlūkprogrammas kriptogrāfiskajiem sertifikātiem, pirms viņi varēja piekļūt tīmeklim. Kad nenojaušais lietotājs vienojās, viņi tā vietā instalēja ļaunprātīgas programmatūras gabalu, kuru Microsoft sauc par Apolloshadow, kas ir maskēts – nedaudz neizskaidrojami – kā Kaspersky drošības atjauninājumu.
Šī Apolloshadow ļaunprātīgā programmatūra pēc tam būtībā atspējos pārlūkprogrammas šifrēšanu, klusējot noņemot kriptogrāfijas aizsardzību visiem tīmekļa datiem, kurus dators pārsūta un saņem. DeGrippo saka, ka šī salīdzinoši vienkāršā sertifikāta viltošana, iespējams, bija grūtāk noteikt nekā pilnvērtīgs spiegprogrammatūras gabals, vienlaikus sasniedzot tādu pašu rezultātu.
