Postřehy z bezpečnosti: neoprávnené sledovanie diplomatických misií - Root.czhttps://www.root.cz/clanky/postrehy-z-bezpecnosti-neopravnene-sledovanie-diplomatickych-misii/?Backdoor ohrozujúci diplomatické misie
Nemenované ministerstvo zahraničných vecí a jeho diplomatické misie na strednom východe boli minimálne od roku 2020 napadnuté backdoor malwarom. Na základe taktík, techník a procedúr by sa podľa spoločnosti ESET mohlo jednať o ruskú kyberšpionážnu skupinu Turla.
Backdoor postihoval jak servery, kde bol malware nazvaný LunarWeb, tak aj pracovné stanice, kde malware získal názov LunarMail. Spôsob infekcie strojov nie je presne známy, no u LunarWeb útočník využil ukradnuté prihlasovacie údaje a pomocou Zabbix agenta presunul na server spomínaný malware, ktorý s útočníkom komunikoval pomocou HTTPS a spúšťal požadované príkazy.
LunarMail sa na pracovné stanice dostal ako súčasť DOCX dokumentu, ktorý bol obetiam zrejme zaslaný pomocou spearphisingu. Perzistenciu si malware zabezpečil tým, že vystupuje ako Outlook rozšírenie, ktoré prijíma príkazy a komunikuje s útočníkom pomocou mailových správ.
Pomocou týchto nástrojov bolo útočníkovi umožnené exfiltrovať z postihnutých strojov citlivé dáta, ktoré boli zakódované v legitímne vyzerajúcich súboroch (Napr. PDF, PNG). Malware sa taktiež nazaobišiel bez zakódovaných odkazov, ktoré pre úspešnosť útoku nehrali žiadnu rolu. Jeden z takých odkazov bol „freedom or death“, čo v preklade znamená sloboda alebo smrť.