Група кібершпигунів Turla атакує дипломатів у Східній Європі

Компанія ESET — лідер у галузі проактивного виявлення — попереджає про поширення групою кібершпигунів Turla нової загрози, націленої на політичні організації в Східній Європі. За даними спеціалістів ESET, зловмисники вводять в оману користувачів для інсталяції шкідливої програми з фальшивого веб-сайту Adobe, метою якої є викрадення конфіденційної інформації.

Раніше група кібершпигунів Turla вже використовувала нелегітимні інсталятори додатку Flash для поширення одного з бекдорів. Однак завантаження загрози з офіційних посилань та IP-адрес Adobe було зафіксовано вперше. При цьому, за даними дослідників ESET, шкідливе програмне забезпечення Turla не здійснює інфікування легітимних оновлень Flash Player, а також не використовує уразливості у продуктах Adobe.

Детальне дослідження ESET показало, що фальшиві інсталятори Flash виконують запит «GET» для отримання конфіденційної ​​інформації з нещодавно інфікованих систем. За даними телеметрії ESET, інсталятори Turla перехоплюють інформацію, що надходить до get.adobe.com, щонайменше з липня 2016 року. Використання легітимних доменів для викрадення даних ускладнює виявлення загрози у мережевому трафіку, дозволяючи групі кібершпигунів Turla приховувати шкідливу діяльність у системі.

«Оператори Turla використовують багато способів введення в оману користувачів для завантаження на перший погляд безпечного програмного забезпечення. Оскільки посилання та IP-адреси імітують офіційну інфраструктуру Adobe, навіть досвідчені користувачі можуть втратити пильність під час завантаження шкідливого файлу нібито з Adobe.com», — розповідають спеціалісти вірусної лабораторії ESET.

Після завантаження та запуску фальшивого інсталятора додатку Flash на комп’ютер жертви завантажується один з декількох бекдорів, який викрадає конфіденційні дані користувача, такі як унікальний ідентифікатор комп'ютера, ім'я користувача та список встановлених на пристрої антивірусних продуктів. На останньому етапі загроза завантажує та запускає легітимний додаток Flash Player.

Нагадаємо, група кібершпигунів Turla відома своїми атаками на урядові установи, посадових осіб і дипломатів щонайменше з 2007 року. Причетність даного угруповання до останніх інфікувань підтверджує те, що деякі фальшиві інсталятори Flash завантажують бекдор Mosquito, який раніше застосовувався саме зловмисниками Turla. Крім цього, деякі командні сервери (C&C) використовують IP-адресу SATCOM, також пов’язану з групою Turla.

Оскільки усі виявлені завантаження були здійснені через HTTP, спеціалісти ESET рекомендують корпоративним користувачам заборонити завантаження виконуваних файлів через незашифроване з'єднання. Такі дії значно ускладнять кіберзлочинцям перехоплення та зміну зашифрованого трафіку між комп’ютером та віддаленим сервером. Крім цього, перевірка підпису файлу зможе виявити підозріле завантаження, оскільки у шкідливих файлів відсутній підпис на відміну від інсталяторів Adobe. Також нагадуємо про необхідність встановлення на комп'ютерах користувачів надійного антивірусного рішення, яке зможе виявляти підозрілі файли і попереджати користувачів про небезпеку.