Изучен один из основных вредоносных инструментов Turla

За кибершпионской кампанией Turla, предположительно, стоят русскоязычные организаторы, сообщает "3Dnews".

От действий злоумышленников пострадали сотни пользователей в более чем 45 странах, в частности правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации, а также фармацевтические компании.

Хакеры Turla используют широкий спектр инструментов. Один из них — вышеупомянутый зловред Carbon. Именно эта вредоносная программа использовалась в атаке на швейцарский оборонный холдинг RUAG.

Кибергруппировка Turla известна тщательной поэтапной работой в скомпрометированных IT-сетях. Первоначально хакеры проводят разведку в системе жертвы и только после этого развёртывают наиболее сложные инструменты, включая Carbon.

Классическая атака начинается с того, что пользователь получает фишинговое письмо или заходит на скомпрометированный сайт — как правило, это площадка, которую часто посещают потенциальные жертвы. После успешной атаки на компьютер жертвы устанавливается бекдор первого этапа — например, Tavdig или Skipper. Он собирает информацию о заражённом устройстве и сети. Если цель показалась интересной, на ключевые системы будет установлен бекдор второго этапа — Carbon.

Эксперты выяснили, что Carbon характеризуется сложной архитектурой. Вредоносная программа состоит из дроппера, компонента, отвечающего за связь с управляющим сервером, загрузчика и пр. На сегодняшний день обнаружено как минимум восемь модификаций зловреда.

Специалисты ESET выявили сходство Carbon с другим известным инструментом группы Turla — руткитом Uroburos. По мнению экспертов, Carbon может быть "облегчённой" версией Uroburos (без компонентов ядра и эксплойтов).

Фото: "3Dnews"