Компания ESET обнародовала результаты детального анализа бекдора Carbon из арсенала кибергруппировки Turla.
За кибершпионской кампанией Turla, предположительно, стоят русскоязычные организаторы. От действий злоумышленников пострадали сотни пользователей в более чем 45 странах, в частности правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации, а также фармацевтические компании.
Хакеры Turla используют широкий спектр инструментов. Один из них — вышеупомянутый зловред Carbon. Именно эта вредоносная программа использовалась в атаке на швейцарский оборонный холдинг RUAG.
Кибергруппировка Turla известна тщательной поэтапной работой в скомпрометированных IT-сетях. Первоначально хакеры проводят разведку в системе жертвы и только после этого развёртывают наиболее сложные инструменты, включая Carbon.
Классическая атака начинается с того, что пользователь получает фишинговое письмо или заходит на скомпрометированный сайт — как правило, это площадка, которую часто посещают потенциальные жертвы. После успешной атаки на компьютер жертвы устанавливается бекдор первого этапа — например, Tavdig или Skipper. Он собирает информацию о заражённом устройстве и сети. Если цель показалась интересной, на ключевые системы будет установлен бекдор второго этапа — Carbon.
Эксперты выяснили, что Carbon характеризуется сложной архитектурой. Вредоносная программа состоит из дроппера, компонента, отвечающего за связь с управляющим сервером, загрузчика и пр. На сегодняшний день обнаружено как минимум восемь модификаций зловреда.
Специалисты ESET выявили сходство Carbon с другим известным инструментом группы Turla — руткитом Uroburos. По мнению экспертов, Carbon может быть «облегчённой» версией Uroburos (без компонентов ядра и эксплойтов). Более подробно об исследовании можно узнать здесь.
Источник: 3DNews
