Киберпреступники используют ПО 20-летней давности

В 1998 году началось расследование серии кибернападений Moonlight Maze, от которых пострадали Пентагон, NASA и Министерство энергетики США, сообщает "3Dnews".

Программа-бэкдор, использовавшаяся в этой операции, имеет много общего с бэкдором, задействованным во вредоносной кампании Turla в 2011 году и повторно обнаруженным в марте 2017 года.

Иными словами, существует вероятность, что группировка Moonlight Maze с годами трансформировалась в Turla, которая также известна как Snake, Uroburos, Venomous Bear и Krypton. До недавнего времени считалось, что группа Turla, за которой, предположительно, стоят русскоязычные организаторы, начала свою деятельность в 2007 году. Но новые данные говорят о том, что Turla, по сути, имеет корни 20-летней давности.

На основе имеющихся сведений эксперты смогли реконструировать операции Moonlight Maze, их инструменты и техники, а также попытались найти подтверждение связи этой группировки с Turla. В своих атаках на сети и компьютеры под управлением ОС Solaris группировка Moonlight Maze использовала инструменты, построенные на открытом ПО. Это бэкдор на базе LOKI2 — программы, выпущенной в 1996 году и предназначенной для извлечения данных через скрытые каналы.

Дальнейшее расследование показало, что редкие образцы вредоносного ПО Turla под Linux, которые были обнаружены в 2014 году, также созданы на базе LOKI2. Более того, в них использовался код, написанный в период между 1999 и 2004 гг.

Этот старый код до сих пор используется в атаках, которые приписывают Turla.

"Возможно, группировка Turla использует старый код под Linux в атаках на особо важные и хорошо защищённые цели, поскольку таким образом им легче проникнуть в сеть, чем в случае применения стандартного инструментария под Windows", — резюмирует "Лаборатория Касперского".

Фото: "3Dnews"