Исследователи Bitdefender определили три новых бэкдора Pacifier APT, которые соединяют кибершпионские кампании против правительственных учреждений с компанией Turla Group, связанной с Россией, сообщает SC Media.
Один из таких инновационных методов – это двоичный файл, который может связываться с сервером командования и управления (C&C) с помощью прокси-соединения и подключенного к Интернету компьютера. Другие два метода – бэкдор Visual Basic Script, который использует локальную память браузера (Internet Explorer), чтобы связаться с сервером командования и управления, и бэкдор на базе запутанного JavaScript, который постоянно соединяется с командным пунктом и отправляет информацию о целевой системе.
Исследователи отмечают, что модули бэкдор, разработанные Turla Group, являются доказательством того, что компания отлично разбирается в техниках обхода систем безопасности и постоянно использует новые атаки и механизмы.
Три проанализированных вируса совершенно разные, но все они показывают, насколько универсальным инструментами Turla Group обладает относительно способов кодирования, реализации и эксфильтрации данных. Были найдены другие программы и инструменты для сбора данных, в том числе в свободном доступе в интернете, которые, скорее всего, были загружены взломщиками после атаки.
По мнению главы Агентства кибербезопасности Евгения Лифшица , здесь видна высокая квалификация членов команды, их глубокое понимание методов обхода кибербезопасности. «Отчасти здесь виноваты сами пользователи, загружающие файлы форматов .doc, .zip, а не определенная вредоносная программа. Кроме того, Turla Group задействовали зараженные веб-сайты. Вредоносные операции группы, видимо, проводятся при использовании методов антиобнаружения».
