03.04.2017  Новости, Безопасность

Специалисты ESET выполнили анализ Carbon — бэкдора второго этапа из арсенала кибергруппировки Turla. Хакеры Turla используют широкий спектр инструментов, предназначенных для кибершпионажа. Жертвами группировки становились крупные организации из Европы и США. В 2016 году одна из модификаций Carbon использовалась в атаке на швейцарский оборонный холдинг RUAG. Кибергруппа вносит изменения в свои вредоносные программы после их обнаружения и постоянно дорабатывает инструментарий, меняя мьютексы и названия файлов в каждой новой версии. Это справедливо и для Carbon — за три года с момента разработки бэкдора и до настоящего времени специалисты ESET наблюдали восемь активных версий. Turla известна тщательной поэтапной работой в скомпрометированных ИТ-сетях. Первоначально хакеры проводят разведку в системе жертвы и только после этого развертывают наиболее сложные инструменты, включая Carbon. Классическая атака начинается с того, что пользователь получает фишинговое письмо или заходит на скомпрометированный сайт — как правило, это площадка, которую часто посещают потенциальные жертвы (метод watering hole). После успешной атаки на компьютер жертвы устанавливается бэкдор первого этапа — например, Tavdig или Skipper. Он собирает информацию о зараженном устройстве и сети. Если цель показалась интересной, на ключевые системы будет установлен бэкдор второго этапа — такой как Carbon. Carbon отличает сложная архитектура. Вредоносная программа состоит из дроппера, компонента, отвечающего ... читать далее.