Бэкдор плюс Flash Player - новый метод атак группы Turla

По сообщению компании ESET, ее специалисты обнаружили еще один метод компрометации рабочих станций, который использует кибергруппа Turla. Эта техника применяется в атаках, нацеленных на сотрудников посольств и консульств стран постсоветского пространства.

Группа Turla специализируется на операциях кибершпионажа; ее жертвами становились крупные организации из Европы и США, в 2016 г. хакеры провели атаку на швейцарский оборонный холдинг RUAG. Типичные для Turla методы – атаки типа watering hole и целевой фишинг. Но, как показало исследование ESET, группа совершенствует свой инструментарий.

Хакеры Turla объединили в пакет собственный бэкдор и программу-установщик Adobe Flash Player, а также внедрили специальные техники, чтобы домены и IP-адреса загрузки поддельного софта внешне напоминали легитимную инфраструктуру Adobe. Данные меры заставляют потенциальную жертву поверить, что она скачивает подлинное ПО с сайта adobe.com, хотя это не соответствует действительности – подмена легитимного установщика вредоносным происходит на одном из этапов пути от серверов Adobe к рабочей станции.

Специалисты ESET предполагают, что подобная атака может быть реализована следующими способами:

  1. Одна из машин в корпоративной сети жертвы может быть взломана, чтобы служить плацдармом для локальной атаки Man-in-the-Middle (MitM). Далее в ходе атаки трафик этого компьютера будет перенаправлен на скомпрометированную машину в локальной сети.
  2. Атакующие могут скомпрометировать сетевой шлюз организации для перехвата входящего и исходящего трафика между корпоративной сетью и интернетом.
  3. Возможен перехват трафика на уровне интернет-провайдера (ISP) – тактика известна из недавнего исследования ESET, посвященного кибершпионажу. Известные жертвы находятся в разных странах и, по данным ESET, используют услуги минимум четырех провайдеров.
  4. Хакеры могут выполнить атаку на BGP-маршрутизаторы (Border Gateway Protocol hijacking) для перенаправления трафика на контролируемый ими сервер, хотя эта тактика должна привлечь внимание систем мониторинга.


После запуска поддельного инсталлятора Flash Player на компьютер жертвы устанавливается один из бэкдоров группы Turla. Это может быть одна из версий Windows-бэкдора Mosquito, вредоносный файл JavaScript или неизвестный файл, загруженный с фиктивного и несуществующего URL-адреса Adobe.

Далее выполняется основная задача – эксфильтрация конфиденциальных данных. Атакующие получают уникальный идентификатор скомпрометированной машины, имя пользователя, список установленных продуктов безопасности и ARP-таблицу. На финальной стадии процесса поддельный инсталлятор загружает и запускает легитимное приложение Flash Player.

Новый инструмент используется в атаках минимум с июля 2016 г. Связь с Turla установлена на основании нескольких признаков, включающих использование бэкдора Mosquito и нескольких IP-адресов, ранее отнесенных к данной кибергруппе.

Как подчеркивают в ESET, эксперты исключают сценарии, связанные с компрометацией Adobe. Вредоносные программы группа Turla не были внедрены в какие-либо легитимные обновления Flash Player и не связаны с известными уязвимостями продуктов Adobe. Практически исключена также компрометация сайта загрузки Adobe Flash Player.

Автор: Александр Абрамов.

Тематики: Безопасность

Ключевые слова: информационная безопасность, ESET