– Den skadliga programvaran som Turla använt för att spionera och stjäla information från EU-regeringar heter ”Pacifier”. Vi upptäckte den redan 2016 och kunde då konstatera att spridningen pågått sedan 2014. Nu har vi genomfört en omfattande teknisk analys av Pacifier som ger oss bättre förståelse för hur programmet lurar säkerhetssystem och lyckas stjäla information. Analysen bekräftar att Turla-gruppen består av otroligt skickliga hackare med djup kunskap om hur man kringgår säkerhetssystem, säger Bogdan Botezatu, IT-säkerhetsexpert på Bitdefender.  

Turla har använt sig av klassiskt nätfiske* för att installera den skadliga programvaran Pacifier på datorerna, i de flesta fallen har det varit mejl med en inbjudan till en konferens eller branschaktivitet. Bakdörrarna* har sedan installerats obemärkt när användaren öppnat det bifogade .doc-dokumentet eller .zip-filen. Pacifier har sedan använt datorns webbläsare (oftast Internet Explorer) för att skicka ut informationen till angriparna. Tillvägagångssättet maskerar informationsstölden med vanlig webbtrafik vilket inneburit att många säkerhetssystem inte larmat. 
 
Pacifiers tre olika bakdörrar:

• En binärkodad bakdörr. Den här bakdörren är specialkodad för att stjäla information även från datorer som inte har direkt internetuppkoppling. Bakdörren använder andra datorer i det interna nätverket som är uppkopplade mot internet för att skicka ut informationen. Analysen av koden visar att angriparna vet vilka datorer som har internetuppkoppling, vilket innebär att Pacifier kan undvika onödig kommunikation på nätverket för att hitta en internetuppkoppling. Den kunskapen om interna nätverksstrukturer tyder på god kunskap om regeringen/myndighetens IT-struktur och innebär med största sannolikhet att det handlar om en riktad attack.
   
• Bakdörr byggd med Visual Basic-script. Bakdörren utnyttjar webbläsarens cachefil (där hemsidor lagar information lokalt för att t.ex. kunna ladda snabbare) för att lagra information som ska skickas till angriparna. Den stora fördelen är att Pacifier inte behöver försöka kontakta angriparnas server på egen hand, utan kan vänta till användaren startar webbläsaren. På så sätt finns ingen misstänkt trafik som kan fångas av säkerhetsprogram.
   
• En bakdörr som bygger på förvrängd JavaScript. Koden för den här bakdörren är betydligt simplare än de andra bakdörrana. Men genom att förvränga JavaScript kan Pacifier använda standardiserade Windows-processor för att samla in och skicka information till angriparna. 

Gemensamt för alla tre bakdörrarna som Turla programmerat är att de är ovanligt utformade och konstruerade, vilket gör dem väldigt svåra att upptäcka.

– Det är fortfarande oklart om det finns en direkt koppling mellan Turla och den ryska regeringen. Kollar vi däremot på Turlas tillvägagångssätt med sofistikerade attacker, noggrant utvalda mål och en stor mängd resurser som investeras för att utveckla nya attackmetoder tyder det på att de är politiskt motiverade, organiserade och välfinansierade. Och med största sannolikhet är det bara en tidsfråga innan vi upptäcker nya intrång på regerings- och myndighetsnivå, säger Bogdan Botezatu.