×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Sinds 2016 actieve Gazer-backdoor richt zich op ambassades en ministeries'

Door , 8 reacties, submitter: Tweekzor

Beveiligingsbedrijf ESET heeft een backdoor ontdekt die het zelf de naam Gazer heeft gegeven. De malware zou door de Turla-groep worden gebruikt om ambassades en ministeries van Buitenlandse Zaken binnen te dringen, vooral in Zuidoost-Europese en voormalige Sovjetlanden.

Volgens het bedrijf is de malware in ieder geval sinds 2016 in gebruik, maar is deze tot nu toe niet ontdekt. Dat komt door de manier waarop de kwaadaardige software detectie ontwijkt, bijvoorbeeld door bestanden op een veilige manier te verwijderen en verschillende strings toe te passen in uiteenlopende versies van de malware. ESET zegt er redelijk zeker van te zijn dat Gazer het werk is van de Turla-groep, die eerder satellietverbindingen bleek te kapen en in verband wordt gebracht met Rusland.

Daarvoor zijn verschillende aanwijzingen, bijvoorbeeld de keuze voor doelwitten als ambassades. Ook de manier van het infecteren van systemen zou naar Turla wijzen. Hierbij wordt eerst via gerichte phishingmails een first stage backdoor verstuurd, waarna deze de tweede, moeilijker te detecteren backdoor binnenhaalt. De eerste backdoor, Skipper genaamd, zou eerder door de groep zijn ingezet en werd in de meeste gevallen samen met Gazer aangetroffen.

Bovendien zijn er veel overeenkomsten tussen Gazer en andere Turla-tools, zoals Carbon en Kazuar, aldus ESET in een uitgebreidere analyse. Zo zijn ze bijvoorbeeld geschreven in C++ en maken ze allemaal gebruik van versleutelde communicatie met een command-and-controlserver. De groep gebruikt voornamelijk overgenomen legitieme WordPress-sites als proxies voor communicatie met de c2-server. Turla bleek volgens ESET eerder Instagram-commentaar voor c2-communicatie in te zetten.

Een opvallend aspect is dat er gebruik wordt gemaakt van zelfgemaakte encryptie, die niet voortkomt uit een publieke bibliotheek of leunt op de Windows-api. Via de c2-server kan de backdoor verschillende commando's via http-verzoeken ontvangen, zoals het uploaden en downloaden van bestanden, het aanpassen van de configuratie en het uitvoeren van een commando. Voordat er een poging wordt gedaan om met de server contact te maken, controleert Gazer of er internettoegang is door de servers van onder meer Google en Microsoft te bezoeken.

Een ander detail is dat de laatste versie van Gazer strings bevat die verwijzen naar jargon uit games. Zo komt de tekst 'only single player is allowed' voor in de code, wat volgens ESET een poging tot humor is. De onderzoekers zeggen niet hoeveel doelwitten door Gazer zijn getroffen.

   De 'single player'-zin

Door Sander van Voorst

Nieuwsredacteur

30-08-2017 • 16:44

8 Linkedin Google+

Submitter: Tweekzor

Reacties (8)

Wijzig sortering
Turla heeft de first stage dropper Skipper voornamelijk kunnen verspreiden door gebruik te maken van zogenaamde Waterholing technieken bij het spearphishen te gebruiken. Dit houdt in dat legitieme domeinen of websites, welke de gebruiker aannemelijk zou kunnen bezoeken, worden gekaapt om de phishing campagne uit te voeren. In het geval van deze Gazer-campagne gericht op overheidsinstanties zijn onder andere websites van ambassades hier voor gebruikt.

Nadat het doelwit ge´nfecteerd was zorgde de eerste stage (Skipper) voor verkenning van de omgeving. Hierna werd de Gazer malware ge´nstalleerd met een aantal mogelijke verschillen tussen de installaties. Zo kon bijvoorbeeld het proces safari.exe of firefox.exe worden gebruikt.
De malware heeft in totaal 6 manieren om persistent te blijven op het systeem, maar op veruit de meeste systemen werd gebruik gemaakt van een nagebootste Adobe Acrobat Reader Updater service.

Voor meer technische info (en IoC's) zie ook de whitepaper: https://www.welivesecurit...ds/2017/08/eset-gazer.pdf
Hierin wordt ondere andere uitgelegd hoe de cryptografie is opgezet met een combinatie van RSA en 3DES en hoe de installatie van de Gazer malware wordt uitgevoerd in 3 tredes.
Ik heb zo onwijs weinig verstand van dit soort dingen, maar vind het zo enorm facinerend. Bedankt voor de uitleg man! Heel cool!
Ze gebruiken geen custom encryption in de zin dat ze zelfontworpen algoritmes gebruiken, maar een eigen implementatie van 3DES en RSA. Een eigen library dus.
Die "only single player is allowed" is lekker introspectief. Snap je 'm? :+
Dit wijst in de richting van een Amerikaanse overheidsdienst: russen kennen geen humor ....

Ook het gebruik van een eigen encryptie library wijst op een overheidsdienst.
Of het wijst op mensen die het op andere mensen willen steken.

Je kan van niets zeker zijn hier.
Als ik het me goed herinner was een van de NSA tools die gebruikt werd (wordt?) gericht op het suggereren dat de tool in een niet Engelse taal gemaakt was.

En al wordt het duidelijk wie en of een overheid dit doet, de volgende dag is alles weer vergeven. (tenzij het niet door een bondgenoot (geallieerde burgers) gedaan wordt, dan zijn de rapen gaar)
0110110001101111011101100110010100100000011101000110100001101111011100110110010100100000011011100110010101110010011001000110100001100101011000010110010001110011


http://roubaixinteractive...ersion/Binary_To_Text.asp

edit; downmod is toch wel zeer kinderachtig

[Reactie gewijzigd door Nympho op 31 augustus 2017 00:21]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*