Компания ESET — лидер в области информационной безопасности — предупреждает о распространении группой киберпреступников Turla нового бэкдора, с помощью которого злоумышленники могут шпионить за электронной почтой пользователей Microsoft Outlook и The Bat!.
Ранее в СМИ сообщалось, что эта вредоносная программа заразила несколько компьютеров Немецкого министерства иностранных дел. Фактически, атака началась еще в 2016 году и была обнаружена Немецкой службой безопасности в конце 2017 года. Таким образом, операторы Turla в течение года имели доступ к электронной почте, которая отправлялась персоналом министерства.
Анализ ESET показал, что с помощью бэкдора киберпреступникам удалось получить доступ также к компьютерам министерств иностранных дел двух других европейских стран и крупного поставщика в области обороны. В ходе исследования специалисты ESET обнаружили десятки адресов электронной почты, которые использовались операторами Turla для получения похищенных данных жертв.
Бэкдор преимущественно нацелен на пользователей Microsoft Outlook. Однако жертвами вредоносной программы становятся также пользователи The Bat! — почтового клиента, который пользуется большой популярностью на Западе Европы.
Благодаря использованию команд бэкдора файлы жертв собираются в специально созданные PDF-документы, прикрепленные к электронным письмам. С помощью специальных PDF-файлов по электронной почте направляются также команды для бэкдора. Стоит отметить, что вредоносная программа не требует соединения с сетью Интернет и работает на любом компьютере, который может обмениваться электронными письмами.
Поскольку бэкдор запускается при использовании жертвой компьютера и Outlook, киберпреступники пытаются скрыть вредоносное поведение в системе. В частности, вредоносная программа всегда удаляет все сообщения, которые посылаются или получаются злоумышленниками. Кроме этого, бэкдор препятствует созданию окон уведомлений Outlook, которые отображаются в правом нижнем углу экрана.
Злоумышленники используют бэкдор минимум с 2013 года, регулярно обновляя эту вредоносную программу. Последняя версия бэкдора была зафиксирована в апреле 2018 года.
Напомним, группа киберпреступников Turla, которая также известна как Snake, осуществляет атаки на дипломатические и военные учреждения еще с 2008 года. Самые известные атаки организации были нацелены на Министерство иностранных дел Финляндии в 2013 году, швейцарскую военную компанию «RUAG» в период между 2014 и 2016 годами и правительство Германии в 2017-2018 годах.
Более детальный анализ бэкдора доступен по ссылке.