Turla har använt sig av klassiskt nätfiske* för att installera den skadliga programvaran Pacifier på datorerna, i de flesta fallen har det varit mejl med en inbjudan till en konferens eller branschaktivitet. Bakdörrarna* har sedan installerats obemärkt när användaren öppnat det bifogade .doc-dokumentet eller .zip-filen. Pacifier har sedan använt datorns webbläsare (oftast Internet Explorer) för att skicka ut informationen till angriparna. Tillvägagångssättet maskerar informationsstölden med vanlig webbtrafik vilket inneburit att många säkerhetssystem inte larmat.
Pacifiers tre olika bakdörrar:
- En binärkodad bakdörr. Den här bakdörren är specialkodad för att stjäla information även från datorer som inte har direkt internetuppkoppling. Bakdörren använder andra datorer i det interna nätverket som är uppkopplade mot internet för att skicka ut informationen. Analysen av koden visar att angriparna vet vilka datorer som har internetuppkoppling, vilket innebär att Pacifier kan undvika onödig kommunikation på nätverket för att hitta en internetuppkoppling. Den kunskapen om interna nätverksstrukturer tyder på god kunskap om regeringen/myndighetens IT-struktur och innebär med största sannolikhet att det handlar om en riktad attack.
- Bakdörr byggd med Visual Basic-script. Bakdörren utnyttjar webbläsarens cachefil (där hemsidor lagar information lokalt för att t.ex. kunna ladda snabbare) för att lagra information som ska skickas till angriparna. Den stora fördelen är att Pacifier inte behöver försöka kontakta angriparnas server på egen hand, utan kan vänta till användaren startar webbläsaren. På så sätt finns ingen misstänkt trafik som kan fångas av säkerhetsprogram.
- En bakdörr som bygger på förvrängd JavaScript. Koden för den här bakdörren är betydligt simplare än de andra bakdörrana. Men genom att förvränga JavaScript kan Pacifier använda standardiserade Windows-processor för att samla in och skicka information till angriparna.
– Det är fortfarande oklart om det finns en direkt koppling mellan Turla och den ryska regeringen. Kollar vi däremot på Turlas tillvägagångssätt med sofistikerade attacker, noggrant utvalda mål och en stor mängd resurser som investeras för att utveckla nya attackmetoder tyder det på att de är politiskt motiverade, organiserade och välfinansierade. Och med största sannolikhet är det bara en tidsfråga innan vi upptäcker nya intrång på regerings- och myndighetsnivå, säger Bogdan Botezatu.