»Регистрация

Безопасность

ESET: хакеры Turla атакуют пользователей Microsoft Outlook

Категория: Безопасность
Специалисты ESET выполнили анализ бэкдора кибершпионской группы Turla, который использовался для кражи конфиденциальных данных госучреждений в странах Европы. Хакеры управляли программой через Microsoft Outlook, отправляя команды в PDF-файлах во вложении.

Вредоносная программа была установлена на нескольких компьютерах Федерального министерства иностранных дел Германии. Чтобы достичь этой цели, операторы Turla скомпрометировали Федеральную высшую школу государственного управления и перемещались в ее сети, пока не проникли в МИД в марте 2017 года. Далее на протяжении 2017 года Outlook-бэкдор обеспечивал хакерам доступ к данным, включая почту сотрудников.

Операторы Turla используют для связи с бэкдором электронные письма, содержащие специальным образом созданные PDF-файлы во вложении. Так они могут отправлять на зараженный компьютер целый ряд команд: выслать данные, загрузить в систему дополнительные файлы, выполнить другие программы и запросы. Собранная информация также будет отправлена хакерам в PDF.

Бэкдор проверяет каждое входящее письмо на наличие PDF-файла с командами. Фактически, вредоносная программа выполнит команды любого, кто сможет закодировать их в PDF-документе. В свою очередь, операторы Turla могут восстановить контроль, отправив бэкдору соответствующий запрос с любого адреса электронной почты.

Каждый раз, когда жертва получает или отправляет письмо, бэкдор сохраняет данные о нем, включая адреса отправителя и получателя, тему и название вложения. Эта информация регулярно пересылается операторам Turla в PDF-документах.

Кроме того, бэкдор дублирует своим операторам все исходящие письма жертвы. Почта уходит одновременно с отправкой настоящих писем, поэтому подозрительный трафик за пределами рабочего дня пользователя отсутствует.

Чтобы скрыть свою активность, бэкдор блокирует уведомления о входящих письмах от операторов. Отправленная хакерам почта также не отображается в почтовом ящике. Тем не менее, в момент поступления письма с командами жертва может видеть индикатор непрочтенного входящего сообщения в течение нескольких секунд.

Новейшие версии бэкдора нацелены на Microsoft Outlook, более старые позволяли также работать с почтовым клиентом The Bat!, популярным в Восточной Европе.

Вредоносная программа не первой использовала реальный почтовый ящик жертвы для получения команд и кражи данных. Однако это первый изученный бэкдор, использующий стандартный интерфейс программирования приложений электронной почты – MAPI. Это существенная доработка в сравнении с прежними версиями бэкдора. По мнению специалистов ESET, Turla – единственная кибергруппа, которая использует в настоящее время подобные инструменты.

Кибергруппа Turla (Snake, Uroboros) получила известность в 2008 года после взлома защищенных объектов, включая сеть Центрального командования ВС США. В списке жертв – Министерство иностранных дел Финляндии (2013 г.), швейцарская оборонная корпорация RUAG (2014–2016 гг.), правительство Германии (конец 2017–начало 2018 гг.).

Более подробная информация об угрозе и индикаторы заражения – в блоге ESET на Хабрахабре.

Автор: ESET Russia. Просмотров: 186



Читаемое
ГК «Сибпромстрой» – лучшие в стандарт-классе
Утепление фасадов специалистами компании «Универсал»
В ТРЦ «Фестиваль», входящем в группу «САФМАР» Михаила Г ...
«Аэрофлот» против коррупции
Зачем Степаненко подыграл коммунистам?
В ТРЦ «Фестиваль», входящем в группу «САФМАР» Михаила Г ...
Как избежать вспышек кори?
ВСС начал разработку общероссийской базы страхования жи ...
Неквалифицированные электронные подписи для электронных ...
Cisco и Правительство Нижегородской области подписали с ...
На Смоленской АЭС в работе два энергоблока
Mercedes приступил к дорожным тестам 1000-сильного гипе ...
Ростовская АЭС: атомная тема на молодежном форуме «Рост ...
Стихи с запахом секса или запрещенный опиум Валентины Х ...
ТАНАИС и «ЭвриТег» защитят документы крупнейших предпри ...
Продлите срок службы очистных сооружений вместе с песко ...
Новые горизонты развития Десногорска с проектом «#Росат ...
Георгию Боосу присвоено учёное звание
Сольный концерт Яны Лысенко и Андрея Приклонского
В Санкт-Петербурге предпочитают Instagram