Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении ранее неизвестного бэкдора под названием Crutch и программы для похищения документов. Эти вредоносные инструменты для кибершпионажа, которые использовались с 2015 года по крайней мере до начала 2020 года, исследователи связывают с известной группой Turla.
Исследователи ESET обнаружили бэкдор Crutch в сети Министерства иностранных дел в стране Европейского Союза, что позволяет предположить сосредоточенность киберпреступников на конкретных целях. Эти инструменты были разработаны для загрузки похищенных конфиденциальных документов и других файлов в учетные записи Dropbox, которые контролировались операторами Turla.
«Основная вредоносная деятельность группы Turla — это похищение документов и других конфиденциальных файлов. Утонченность атак и выявленные технические детали подтверждают наличие значительных ресурсов у группы Turla для работы с таким большим и разнообразным арсеналом, — комментирует Матье Фау, исследователь ESET. — Кроме того, Crutch может обойти некоторые уровни безопасности, несанкционированно используя легитимную инфраструктуру, в данном случае Dropbox, с целью проникновения в обычный сетевой трафик и похищения документов».
Для приблизительного определения часов работы киберперступников исследователи ESET экспортировали время загрузки ZIP-файлов в учетные записи Dropbox. Для этого были собраны 506 разных временных меток в период с октября 2018 по июль 2019 года, которые указывают на часы активности злоумышленников, а не работы устройств жертв. Соответственно операторы, скорее всего, работают в часовом поясе UTC+3.
Часы работы операторов Crutch на основе загрузок в Dropbox
Во время исследования специалисты ESET выявили связь между загрузчиком Crutch 2016 года и Gazer. Последний, также известный как WhiteBear, является дополнительным бэкдором, который использовался киберпреступниками Turla в 2016-2017 годах.
Стоит напомнить, что группа киберпреступников Turla активна более десяти лет и занимается кибершпионажем. В частности, злоумышленники атакуютправительственные учреждения во всем мире, особенно дипломатические организации, используя большой набор вредоносных программ.
Для получения дополнительной информации об атаках Turla Crutch перейдите по ссылке.