Slovakialainen tietoturvayhtiö ESET julkaisi raportin löytämästään takaovesta, Zdnet uutisoi.

Takaoven avaava troijalainen piilottaa komentopalvelimen kanssa käymänsä viestiliikenteen Windows Background Intelligent Transfer Servicen (BITS) avulla. BITS on ollut viime vuosina pääkanava käyttöjärjestelmän päivitysten jakamisessa Windows-koneille. Myös Mozilla on harkinnut omien päivitystensä siirtämistä BITS-palveluun.

Tietoturvatutkijat uskovat, että kyseessä on valtiollisen toimijan sponsoroimana kehitetty haitake. BITSiä ovat hyväksikäyttäneet myös Kiinan tukemat hakkerit, mutta ESET uskoo, että nyt kyseessä oleva hakkeritiimi tunnetaan nimellä Stealth Falcon. Sitä on yritetty tietoturvapiireissä jahdata jo vuosia.

Zdnetin mukaan ainoan aiemman raportin Stealth Falcionista on julkaissut tietoturva- ja ihmisoikeusjärjestö Citizen Lab vuonna 2016. Sen mukaan ryhmä on toiminut vuodesta 2012 lähtien ja kohdentanut hyökkäyksen Arabiemiraattien poliittisten toisinajattelijoiden vastaan.

ESETin mukaan oli helppoa varmistua siitä, että kyseessä oli Stealth Falconin kehittämä haittaohjelma. Nyt löydetty takaovi käytti samoja palvelimia kuin Citizen Labin aiemmin raportoima PowerShell-takaovi. Myös koodaustyylissä oli havaittavia yhtäläisyyksiä.

Uuden haittaohjelman kohdetta ESET ei mainitse. Sen sijaan tietoturvayhtiö siteeraa ihmisoikeusjärjestö Amnesty Internationalin teknologia-asiantuntija Claudio Guarnieria, jonka mukaan Stealth Falcon on yksityinen tietoturva-alan yritys DarkMatter.

Uutistoimisto Reuters kertoi tammikuussa 2019 Project Ravenista. Uutisen mukaan DarkMatter on palkannut entisiä NSA:n työntekijöitä auttamaan Arabiemiraattien hallintoa seuraamaan ja hakkeroimaan toisinajattelijoiden järjestelmiin. DarkMatter kiisti kaikki syytteet.