Хакерская группировка Turla, связанная с ФСБ России, научилась атаковать цели, которые ранее были заражены вирусами других хакеров. Источник: Mandiant
Источник: Хакеры Кремля готовят блэкаут по всей Европе — Минобороны Австрии
Компания Mandiant впервые обнаружила новую технику Turla в сентябре 2022 года, когда специалисты заметили брешь в одной из систем в Украине.
Несколько компьютеров сети были заражены после того, как пользователь вставил USB-накопитель в один из их портов и дважды щелкнул вредоносный файл на диске, который был замаскирован под папку, установив часть вредоносного ПО под названием Andromeda.
Andromeda — относительно распространенный банковский троян, который киберпреступники использовали для кражи учетных данных жертв еще с 2013 года. Но на одной из зараженных машин аналитики Mandiant увидели, что образец Andromeda незаметно загрузил два других, более интересных фрагмента вредоносного ПО. Первый, разведывательный инструмент под названием Kopiluwak, ранее использовался Turla; вторая часть вредоносного ПО, бэкдор, известный как Quietcanary, который сжимал и перекачивал тщательно отобранные данные с целевого компьютера, в прошлом использовался исключительно Turla.
Эта техника заражения, по-видимому, предназначена для того, чтобы позволить Turla оставаться незамеченной, скрываясь за спинами других хакеров. Это показывает, что методы российской группы изменились и стали намного изощреннее за последние полтора десятилетия, — говорит Джон Халтквист, руководитель отдела анализа разведывательных данных в Mandiant:
«Поскольку вредоносное ПО уже распространялось через USB, Turla может использовать это, не раскрывая себя. Вместо того чтобы использовать свои собственные инструменты USB, такие как agent.btz, они могут использовать чужие. Они используют операции других людей. Это действительно умный способ ведения бизнеса», — заявили в компании.
Напомним, ранее мы сообщали, что РФ старается сделать свои кибератаки более эффективными, чтобы иметь возможность влиять на военную и политическую поддержку Украины.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet