Самые загадочные в мире русские хакеры Turla возобновили атаки

Опубликовано at 19:27
91 0

Легендарная, предположительно связанная со спецслужбами кибергруппа снова работает. Исследователи компании ESET обнаружили новые атаки русскоязычной хакерской группы Turla (она же Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton), направленные на два министерства иностранных дел в Восточной Европе, а также на парламент неназванной страны в Кавказском регионе. По данным аналитиков, эти атаки произошли в январе 2020 года и использовали обновленную версию малвари ComRAT.

Кибергруппа Turla, известная также под названиями Snake и Uroboros, получила известность в 2008 году после взлома защищенных объектов, включая сеть Центрального командования ВС США. В списке их жертв — Министерство иностранных дел Финляндии (2013 год), швейцарская оборонная корпорация RUAG (2014-2016 годы), правительство Германии (конец 2017- начало 2018 годов).

В 2015 году эксперты «Лаборатории Касперского» обнародовали отчет о том, как Turla для сокрытия и повышения безопасности своих C&C серверов, хакеры применяют спутниковые командные серверы, по сути, взламывая для этого спутники. Это гораздо дешевле легальной аренды канала или VPS сервера, а также гораздо надежнее.

Несколько лет назад ИБ-специалисты обнаружили следы Turla в атаках 20-летней давности, то есть теперь считается, что группировка, вероятно, была активна с начала конца 90-х годов. Это делает ее одной из самых старых кибергрупп в мире.

В разное время с Turla связывали многочисленные инциденты информационной безопасности – захват спутниковых каналов связи для маскировки своей деятельности, атаки на органы государственного управления и стратегические отрасли, включая оборонную промышленность в Европе, на Ближнем Востоке, в Азии и Африке.

Вредонос ComRAT, использованный хакерами также известен под названием Agent.BTZ и является одним из старейших инструментов Turla. Именно эту малварь хакеры использовали в 2008 году для хищения данных из сети Пентагона. Сейчас исследователи обнаружили новую вариацию ComRAT 4, имеющую сразу две новые функции: собирать логи антивирусов с зараженного хоста и загружать их на один из своих управляющих серверов; и возможность контролировать ComRAT через почтовый ящик Gmail.

Последняя версия ComRAT 4 захватывает управление одним из браузеров жертвы, загружает предопределенный файл cookie и затем обращается к Gmail. В почтовом ящике малварь читает последние письма в папке «Входящие», откуда загружает вложения, а затем читает инструкции, содержащиеся в этих файлах. Просто и элегантно.

Мы писали о Turla в прошлом году, когда антивирусная компания Symantec опубликовала отчет, согласно которому известная российская киберпреступная группа взломала инфраструктуру такой же киберпреступной группы APT34, но уже из Ирана. Turla, в частности, принадлежит гениальное на грани безумия решение посылать команды вредоносному ПО через комментарии к постам в инстаграме Бритни Спирс.

Читайте также на АКБ:

Русские суперхакеры Turla облачились в иранский киберкамуфляж

Подписываемся, следим @CyberAgency

Related Post

Перехват в воздухе: новая атака записывает голос из динамика смартфона

Опубликовано - 18.07.2019 0
Нетривиальный метод атаки через шпионаж за динамиком посредством акселерометра предложили эксперты по кибербезопасности. Разработанный ими джеймсбондовский метод позволяет вредоносным приложениям…

Последние камни в Паноптикум: российские автобусы научат распознавать лица

Опубликовано - 01.10.2018 0
В Петербурге тестируют новую систему видеоконтроля, которую будут применять на общественном транспорте. Разработал его холдинг «Росэлектроника» и его дочерняя компания…