De e-kraakgroep Turla, die in opdracht van de Russische geheime dienst FSB zou werken, heeft enkele van de meest innovatieve kraaktechnieken in de geschiedenis van de webspionage uitgevoerd om zich te nestelen op computers van ambassademedewerkers in Moskou. Ze verbergen de communicatie van hun kwalijke code in satellietverbindingen of kapen de activiteiten van andere e-krakers om hun eigen gegevensdiefstal te verhullen. Als de groep echter in Rusland) opereert, blijkt ze een even opmerkelijke, maar eenvoudiger, aanpak te hebben geprobeerd. Ze lijkt de controle over Russische internetaanbieders te hebben gebruikt om spiewaar rechtstreeks op de computers van hun doelwitten in Moskou te plaatsen.
Microsoftonderzoekers publiceerden een rapport waarin een verraderlijke nieuwe spionagetechniek wordt beschreven die Turla gebruikt. Deze techniek zou afkomstig zijn van de FSB. De groep, die ook bekend staat als Snake, Venomous Bear of Secret Blizzard (verzonnen door Microsoft), lijkt zijn door de staat goedgekeurde toegang tot Russische internetaanbieders te hebben gebruikt om zich met het internetverkeer te bemoeien en slachtoffers die in buitenlandse ambassades in Moskou werken ertoe te verleiden de schadelijke code van de groep op hun pc’s te installeren.
Die schakelde vervolgens de versleuteling op de computers van die slachtoffers uit, zodat de gegevens die ze via internet verstuurden gewoon leesbaar bleven. Hierdoor bleven hun communicatie en inloggegevens zoals gebruikersnamen en wachtwoorden voor het grijpen voor onbevoegde derden en elke overheidsinstantie waarmee ze samenwerken.

Sherrod DeGrippo van Microsoft, zegt dat de techniek een zeldzame combinatie is van gericht inbreken voor spionage en de oudere, passievere aanpak van massaspionage door overheden, waarbij geheime diensten de gegevens van internetaanbieders en telecombedrijven verzamelen en doorzoeken om doelwitten te observeren. “Dit vervaagt de grens tussen passieve bewaking en daadwerkelijke inbraak”, zegt DeGrippo.

Webverzoek

Volgens de onderzoekers van Microsoft maakt Turla gebruik van een bepaald webverzoek dat webprogramma’s doen wanneer ze een zogeheten ‘pakkend portaal’ tegenkomen. Dit zijn de vensters die het meest worden gebruikt om internettoegang te blokkeren in omgevingen zoals luchthavens, vliegtuigen of cafés, maar ook binnen sommige bedrijven en overheidsinstanties.
In Windows maken deze portalen verbinding met een bepaalde Microsoft-webstek om te controleren of de computer van de gebruiker daadwerkelijk verbonden is.

Door gebruik te maken van haar controle over de Russische internetaanbieders die bepaalde medewerkers van buitenlandse ambassades met het internet verbinden, kon Turla doelwitten omleiden, zodat ze een foutmelding te zien kregen die hen ertoe aanzet een nieuwe versie van de cryptografische certificaten van hun webprog te laden voordat ze toegang tot het web krijgen.
Als een nietsvermoedende, ietwat onnozele gebruiker hiermee instemt, wordt in plaats daarvan een stukje kwalijke code op de computer van het slachtoffer gezet, door Microsoft ApolloShadow gedoopt, dat vermomd is als een Kaspersky-beveiliging.

ApolloShadow zou vervolgens de versleuteling van het webprog uitschakelen en stilletjes de cryptografische beveiliging verwijderen voor alle webgegevens die de computer verzendt en ontvangt. Die relatief eenvoudige certificaatmanipulatie zou moeilijker te detecteren zijn dan een stuk code met alle functies op een computer te plaatsen.

FBI

Twee jaar geleden meldde de Amerikaanse federale recherche FBI blij Turla van het web te hebben ‘geveegd’, maar dat blijkt allerminst waar te zijn (vooropgesteld dat de huidige met Turla aangeduide groep nog uit min of meer dezelfde personen bestaat, wat hoogst waarschijnlijk is).

Bron: Wired