Een groep cyberspionnen die bij het Duitse ministerie van Buitenlandse Zaken wist in te breken heeft Microsoft Outlook als effectieve backdoor gebruikt voor het bedienen van besmette computers en het stelen van vertrouwelijke gegevens. Dat meldt anti-virusbedrijf ESET vandaag in een analyse (pdf).

De spionagegroep staat bekend als Turla, maar wordt ook Snake of Uroburos genoemd. De groep zou verantwoordelijk zijn voor inbraken bij een Zwitsers defensiebedrijf en het Belgische ministerie van Buitenlandse Zaken. Via social engineering en zero day-lekken weet de groep al jarenlang computers te infecteren en gebruikt daarbij zelfs satellieten om data te stelen.

Volgens ESET wist de groep in nagenoeg heel 2017 gegevens te stelen van computers van het Duitse ministerie van Buitenlandse Zaken. De aanval, die de Duitse inlichtingendiensten eind 2017 ontdekten, werd in maart 2018 openbaar gemaakt. De Microsoft Outlook-backdoor die de groep gebruikt is ook tegen de ministeries van Buitenlandse Zaken van twee andere Europese landen ingezet, alsmede het netwerk van een niet nader genoemd defensiebedrijf.

De backdoor die de groep gebruikt werkte eerst via het e-mailprogramma The Bat, dat veel in Oost-Europa wordt gebruikt, aldus ESET-onderzoeker Tomas Foltyn. Nieuwere versies maken echter gebruik van Microsoft Outlook. Hiervoor worden geen kwetsbaarheden in Microsofts e-mailprogramma gebruikt. In plaats daarvan werkt de backdoor via de Messaging Application Programming Interface (MAPI) van Outlook om de mailboxen van het slachtoffer te benaderen.

De aanvallers moeten een systeem eerst zien te infecteren voordat ze de malware kunnen installeren die van Microsoft Outlook een backdoor maakt. De backdoor wordt niet alleen gebruikt om besmette machines mee te besturen, maar ook om gegevens te stelen. De bediening vindt plaats via pdf-bestanden met opdrachten die via e-mail naar de besmette computer worden verstuurd.

Wanneer het slachtoffer een e-mail ontvangt of verstuurt, genereert de backdoor een logbestand met metadata van het bericht, waaronder de afzender, onderwerp en namen van eventuele bijlagen. Geregeld worden deze logbestanden gebundeld, samen met andere data, en verstuurd via een e-mailbericht waaraan een speciaal gemaakt pdf-document is toegevoegd.

In het geval van inkomende berichten controleert de backdoor op de aanwezigheid van een pdf-bestand dat opdrachten van de aanvallers bevat. Daarbij accepteert de backdoor opdrachten van iedereen die ze in een pdf-document kan encoderen. Mochten de hardcoded e-mailadressen van de aanvallers zijn geblokkeerd, dan kunnen ze op deze manier weer de controle over de backdoor krijgen door een e-mail vanaf een willekeurig e-mailadres te sturen.

De e-mails van de aanvallers worden daarnaast niet in de inbox weergegeven en ook notificaties van deze e-mailberichten worden geblokkeerd. De onderzoekers van ESET zeggen niet bekend te zijn met andere spionagegroepen die van een backdoor gebruikmaken die volledig via e-mails met pdf-bijlagen wordt bediend. Volgens Foltyn is de backdoor zo bestand tegen 'takedowns' door autoriteiten, dat die bijna met een rootkit is te vergelijken.