Российский электронный шпионаж Группа, известная как Turla, стала печально известной в 2008 году как хакеры, создавшие agent.btz, вредоносное вредоносное ПО, которое распространялось через системы Министерства обороны США и получало широкий доступ через зараженные USB-накопители, подключаемые ничего не подозревающими сотрудниками Пентагона. Теперь, 15 лет спустя, та же самая группа, кажется, пробует новый поворот этой мистификации: захват USB-инфекции для еще Хакеры восстанавливают свои инфекции и тайно выбирают свои собственные шпионские цели.
Сегодня фирма по кибербезопасности Mandiant открытым Она нашла случай, когда Пираты Турла сказали:Широко распространено мнение, что он работает на российскую разведку ФСБ.Получил доступ к сетям жертв, зарегистрировав просроченные домены для вредоносных программ киберпреступников почти десятилетней давности, которые распространяются через зараженные USB-накопители. В результате Turla смогла захватить серверы управления и контроля этой вредоносной программы в стиле краба-отшельника и рыться в ее жертвах, чтобы найти тех, кто достоин шпионской цели.
Этот метод захвата, по-видимому, предназначен для того, чтобы позволить Turla оставаться незамеченной, скрытой среди следов других хакеров, прочесывая широкий спектр сетей. Это показывает, как методы российской группы развивались и становились все более изощренными за последние полтора десятилетия, — говорит Джон Халтквист, руководитель отдела анализа разведданных в Mandiant. «Поскольку вредоносное ПО уже распространяется через USB, Turla может воспользоваться этим, не раскрывая себя. Вместо того, чтобы использовать свои собственные USB-инструменты, такие как agent.btz, они могут пользоваться чужими инструментами», — говорит Халтквист. «Они пользуются чужими операциями. Это действительно умный способ ведения бизнеса».
Об обнаружении Mandiant новой технологии Turla впервые стало известно в сентябре прошлого года, когда спасатели обнаружили странное вторжение в сеть на Украине, стране, которая стала основным объектом внимания всех спецслужб Кремля после катастрофического вторжения в Россию в феврале прошлого года. Несколько компьютеров в этой сети заразились после того, как кто-то вставил USB-накопитель в один из их портов и дважды щелкнул вредоносный файл на диске, замаскированный под папку, в которую было установлено вредоносное ПО Andromeda.
Andromeda — относительно распространенный банковский троянец, который киберпреступники использовали для кражи учетных данных жертв с 2013 года. Но на одной зараженной машине аналитики Mandiant увидели, что образец Andromeda загрузил еще две интересные вредоносные программы. Первый, разведывательный инструмент под названием «Копилувак», ранее использовался Турлой; Вторая часть вредоносного ПО, бэкдор, известный как Quietcanary, который сжимает и извлекает тщательно отобранные данные с целевого компьютера, в прошлом использовался исключительно Turla. «Для нас это был красный флаг, — говорит Гейб Ронкон, аналитик по угрозам в Mandiant.
Когда компания Mandiant посмотрела на серверы управления вредоносным ПО Andromeda, которое запустило эту цепочку заражения, ее аналитики увидели, что срок действия домена, использовавшегося для управления образцом Andromeda, — чье имя было непристойной насмешкой над антивирусной индустрией, — уже истек и был повторно -зарегистрирован в начале 2022 года. Глядя на образцы Другой Андромеды и ее доменов управления и контроля, Mandiant обнаружил, что по крайней мере два других домена с истекшим сроком действия были перерегистрированы. В целом, эти домены связаны с сотнями заражений Andromeda, которые Turla может сортировать, чтобы найти темы, за которыми стоит следить.
«Любитель алкоголя. Дружелюбный вебоголик. Пожизненный телеведущий. Гордый интроверт».