Легендарная, предположительно связанная со спецслужбами кибергруппа снова работает. Исследователи компании ESET обнаружили новые атаки русскоязычной хакерской группы Turla (она же Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton), направленные на два министерства иностранных дел в Восточной Европе, а также на парламент неназванной страны в Кавказском регионе. По данным аналитиков, эти атаки произошли в январе 2020 года и использовали обновленную версию малвари ComRAT.
Кибергруппа Turla, известная также под названиями Snake и Uroboros, получила известность в 2008 году после взлома защищенных объектов, включая сеть Центрального командования ВС США. В списке их жертв — Министерство иностранных дел Финляндии (2013 год), швейцарская оборонная корпорация RUAG (2014-2016 годы), правительство Германии (конец 2017- начало 2018 годов).
В 2015 году эксперты «Лаборатории Касперского» обнародовали отчет о том, как Turla для сокрытия и повышения безопасности своих C&C серверов, хакеры применяют спутниковые командные серверы, по сути, взламывая для этого спутники. Это гораздо дешевле легальной аренды канала или VPS сервера, а также гораздо надежнее.
Несколько лет назад ИБ-специалисты обнаружили следы Turla в атаках 20-летней давности, то есть теперь считается, что группировка, вероятно, была активна с начала конца 90-х годов. Это делает ее одной из самых старых кибергрупп в мире.
В разное время с Turla связывали многочисленные инциденты информационной безопасности – захват спутниковых каналов связи для маскировки своей деятельности, атаки на органы государственного управления и стратегические отрасли, включая оборонную промышленность в Европе, на Ближнем Востоке, в Азии и Африке.
Вредонос ComRAT, использованный хакерами также известен под названием Agent.BTZ и является одним из старейших инструментов Turla. Именно эту малварь хакеры использовали в 2008 году для хищения данных из сети Пентагона. Сейчас исследователи обнаружили новую вариацию ComRAT 4, имеющую сразу две новые функции: собирать логи антивирусов с зараженного хоста и загружать их на один из своих управляющих серверов; и возможность контролировать ComRAT через почтовый ящик Gmail.
Последняя версия ComRAT 4 захватывает управление одним из браузеров жертвы, загружает предопределенный файл cookie и затем обращается к Gmail. В почтовом ящике малварь читает последние письма в папке «Входящие», откуда загружает вложения, а затем читает инструкции, содержащиеся в этих файлах. Просто и элегантно.
Мы писали о Turla в прошлом году, когда антивирусная компания Symantec опубликовала отчет, согласно которому известная российская киберпреступная группа взломала инфраструктуру такой же киберпреступной группы APT34, но уже из Ирана. Turla, в частности, принадлежит гениальное на грани безумия решение посылать команды вредоносному ПО через комментарии к постам в инстаграме Бритни Спирс.
Читайте также на АКБ:
Русские суперхакеры Turla облачились в иранский киберкамуфляж
