В продължение на повече от година, турска група за кибершпионаж е използвала уязвимост в популярното приложение за сигурна комуникация Output Messenger, за да шпионира кюрдски военни сили в Северен Ирак. Информацията беше разкрита от Microsoft в наскоро публикуван доклад, който хвърля светлина върху продължаваща и ефективна кампания за електронно проникване, целяща Пешмерга, военната сила на Кюрдската автономна област.
Output Messenger е корпоративна платформа за съобщения с над 50 000 изтегляния в Google Play. Приложението се рекламира като сигурно и частно решение за вътрешни комуникации и често се използва в чувствителни среди. Именно това го прави и подходяща цел за кибератаки, когато не са взети достатъчно мерки за сигурност.
В случая с Пешмерга, приложението е било разположено на локални сървъри (on-premises) — избор, който, макар да изглежда сигурен на пръв поглед, носи риск, особено при непостоянно прилагане на пачове и компенсаторни контроли.
Уязвимостта, използвана от атакуващата група, е получила обозначението CVE-2025-27920 и критична оценка 9.8 по CVSS. Тя позволява на атакуващия да създаде файл с манипулирано име, така че той да бъде записан извън определената директория за качване – в случая, в директорията за автоматично стартиране на сървъра.
След като злоумишленикът качи файла с подменено име, приложението автоматично го запазва на грешното място. Това дава възможност за инсталиране на бекдор, написан на Golang, който предоставя постоянен достъп до системата. Впоследствие, всяко съобщение или файл, споделен от кюрдски потребител, е било наблюдавано от атакуващите.
Групата зад атаката е известна като Sea Turtle (наричана от Microsoft „Marbled Dust“) – турски APT с история в DNS hijacking и typosquatting. В миналото групата е насочвала жертвите си чрез фалшиви уебсайтове и подменени DNS отговори, а в този случай вероятно е използвала подобна техника, за да открадне идентификационни данни за Output Messenger.
След като са получили достъп до приложението, атакуващите са използвали уязвимостта, за да инсталират зловреден код. Анализът показва, че атаките са започнали още през април 2024 г., а уязвимостта е била закърпена едва на 25 декември 2024 г. от разработчика Srimax. Дори след това Microsoft е наблюдавала, че много сървъри остават неактуализирани, което е позволило продължаването на атаките.
Макар че Output Messenger предлага функции за криптиране и не съхранява съобщения в облака, фактът, че приложенията се хостват локално, изисква от организациите да се справят със самостоятелна поддръжка, обновления и защита. Steve Cobb, CISO в SecurityScorecard, отбелязва:
„Когато изберете локално хостване, поемате отговорността за сигурността – включително редовни ъпдейти, мрежова сегрегация и контрол на достъпа.“
Тази атака показва как на пръв поглед защитени платформи могат да се окажат ахилесова пета, когато липсва адекватна ИТ поддръжка или процеси по управление на уязвимости. Освен това тя подчертава как геополитическото напрежение все по-често се проявява и в киберпространството – с реални последици за националната сигурност на цели региони.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
