Бекдор групи Turla атакує європейських користувачів

Наступна новина

Компанія ESET — лідер у галузі інформаційної безпеки — попереджає про поширення групою кіберзлочинців Turla нового бекдору, за допомогою якого зловмисники можуть шпигувати за електронною поштою користувачів Microsoft Outlook та The Bat!.

Раніше у медіа повідомлялось, що ця шкідлива програма інфікувала декілька комп’ютерів Німецького міністерства закордонних справ. Фактично, атака розпочалася ще в 2016 році і була виявлена Німецькою службою безпеки наприкінці 2017 року. Таким чином, оператори Turla протягом року мали доступ до електронної пошти, яка відправлялася персоналом міністерства.

Аналіз ESET показав, що за допомогою бекдору кіберзлочинцям вдалося отримати доступ також до комп’ютерів міністерств закордонних справ двох інших європейських країн та великого постачальника у галузі оборони. У ході дослідження спеціалісти ESET виявили десятки адрес електронної пошти, які використовувалися операторами Turla для отримання викрадених даних жертв.

Бекдор переважно націлений на користувачів Microsoft Outlook. Однак жертвами шкідливої програми стають також користувачі The Bat! — поштового клієнта, який користується значною популярністю у країнах Європи.

Завдяки використанню команд бекдора файли жертв збираються у спеціально створені PDF-документи, прикріплені до електронних листів. За допомогою спеціальних PDF-файлів електронною поштою надсилаються також команди для бекдора. Варто зазначити, що шкідлива програма не потребує з'єднання з мережею Інтернет і працює на будь-якому комп'ютері, який може обмінюватися електронними листами.

Оскільки бекдор запускається під час використання жертвою комп’ютера та Outlook, кіберзлочинці  намагаються приховати шкідливу поведінку в системі. Зокрема шкідлива програма завжди видаляє всі повідомлення, які надсилаються або отримуються зловмисниками. Крім цього, бекдор перешкоджає створенню вікон сповіщень Outlook, які відображаються в правому нижньому кутку екрана.

Зловмисники використовують бекдор щонайменше з 2013 року, регулярно оновлюючи цю шкідливу програму. Остання версія бекдору була зафіксована в квітні 2018 року.

Нагадаємо, група кіберзлочинців Turla, яка також відома як Snake, здійснює атаки на дипломатичні та військові установи ще з 2008 року. Найвідоміші атаки організації були націлені на Міністерство закордонних справ Фінляндії у 2013 році, швейцарську військову компанію «RUAG» в період між 2014 та 2016 роками та уряд Німеччини у 2017-2018 роках.

Більш детальний аналіз бекдору доступний за посиланням.