Сразу две ИБ-компании независимо друг от друга представили отчеты о связанной с Turla активности.
Хорошо известная ИБ-экспертам русскоговорящая APT-группа Turla снова дала о себе знать после временного затишья. На этой неделе две ИБ-компании независимо друг от друга представили отчеты о вредоносной активности, так или иначе связанной с Turla.
Исследователи компании ESET сообщили о ранее неизвестном бэкдоре Gazer, сравнительно недавно появившемся в арсенале Turla. Вредонос применяется в шпионских операциях для тайной слежки за посольствами и консульствами по всему миру. Бэкдор, предназначенный для хищения данных, был обнаружен на некоторых компьютерах в странах Восточной Европы и бывшего СССР. Эксперты обнаружили сходство между Gazer и используемым Turla вредоносным ПО Carbon и Kazuar.
Второй отчет предоставили специалисты «Лаборатории Касперского». Эксперты рассказали о вредоносной кампании под названием WhiteBear, о которой предупредили своих клиентов еще в феврале нынешнего года. По данным исследователей, WhiteBear представляет собой второй этап проводимой хакерами Turla кампании White Atlas (о ней ЛК предупреждала своих клиентов в 2016 году).
Как и в прошлых кампаниях, Turla использует C&C-инфраструктуру из взломанных сайтов и перехваченных каналов спутниковой связи. Часть инфраструктуры использовалась Turla и раньше, например, компоненты, ответственные за управление бэкдором Kopiluwak. Кроме того, установке модулей WhiteBear всегда предшествовала установка модулей White Atlas, что указывает на связь между двумя кампаниями.
Несмотря на очевидную связь между White Atlas и WhiteBear, последняя представляет собой отдельный, меньший по масштабу проект Turla. Его целью является слежка за консульствами и посольствами, а с начала июня 2017 года и за оборонными организациями.
APT (Advanced Persistent Threat) – «развитая устойчивая угроза». Противник, обладающий современным уровнем специальных знаний и значительными ресурсами, позволяющими ему создавать возможности для достижения целей посредством различных векторов нападения (например, информационных, физических и обманных).
Никаких овечек — только отборные научные факты