9月1日訊 全球知名安全軟件公司ESET 8月30日發布研究報告，指出俄羅斯臭名昭著的網絡間諜組織Turla使用隱秘后門“Gazer”監控全球的領事館和大使館。

Gazer的成功之處在于使用先進的方法監控預期目標，能長期潛伏在被感染的設備中，施展隱藏術設法長期竊取數據。

ESET的研究人員發現，Gazer設法感染全球大量電腦，多數受害者位于歐洲。ESET查看攻擊分子利用Gazer發起的不同間諜活動之后發現，Gazer的主要目標似乎是東南歐及前蘇聯國家。

Turla組織過去的攻擊活動分兩個階段，其特點如下：

目標機構為大使館和政府部門。

傳送第一階段的后門，例如Skipper。

部署第二個隱藏后門，例如Gazer、Carbon和Kazuar。

第二階段的后門將被黑合法網站作為代理通過控制與命令服務器（C&C服務器）接收攻擊分子的加密指令。

Gazer用C++編寫，與Turla APT家族的其它惡意軟件具有相似之處。事實上，Gazer、Carbon和Kazuar都可以從C&C服務器接收加密任務，通過被感染設備或網絡中的另一臺設備執行任務。這三款惡意軟件均使用加密容器存儲組件，此外還會將行動記錄在文件中。

C&C服務器列表經過加密處理，并嵌入Gazer PE資源，這些資源均是充當第一層代理的被黑合法網站，這些網站大多數使用WordPress內容管理系統（CMS）。這也是Turla APT組織慣用的戰術。

此外，嵌入Gazer樣本的其中一個C&C服務器曾用于Jscript后門“Kopiluak”。

Gazer、Carbon和Kazuar具有類似的進程列表，可作為目標注入模塊，與嵌入二進制文件的C&C 服務器通信。樣本不同，包含該列表的資源也會有所變化，開發人員可能會為系統中安裝的程序定制，例如，有些樣本上的進程名稱為“safari.exe”。

相比較而言，Gazer更善于躲避檢測，修改了代碼中的字符串，并安全清除文件。

ESET研究團隊在Gazer惡意軟件樣本中發現，攻擊分子修改了大多數字符串，在代碼中插入與視頻游戲文件相關的語句。

Gazer的開發人員廣泛使用加密，他們不會使用Windows Crypto API，似乎也不會使用任何公共庫，使用，Gazer開發人員使用自己的3DES和RSA庫。

　　Gazer的組件結構如下：

專家建議，所有組織機構，無論政府、外交、執法機構或傳統企業需嚴肅對待當今復雜的威脅，并采取分層防御降低入侵風險。