Группа Turla специализируется на операциях кибершпионажа; ее жертвами становились крупные организации из Европы и США, в 2016 г. хакеры провели атаку на швейцарский оборонный холдинг RUAG. Типичные для Turla методы – атаки типа watering hole и целевой фишинг. Но, как показало исследование ESET, группа совершенствует свой инструментарий.
Хакеры Turla объединили в пакет собственный бэкдор и программу-установщик Adobe Flash Player, а также внедрили специальные техники, чтобы домены и IP-адреса загрузки поддельного софта внешне напоминали легитимную инфраструктуру Adobe. Данные меры заставляют потенциальную жертву поверить, что она скачивает подлинное ПО с сайта adobe.com, хотя это не соответствует действительности – подмена легитимного установщика вредоносным происходит на одном из этапов пути от серверов Adobe к рабочей станции.
Специалисты ESET предполагают, что подобная атака может быть реализована следующими способами:
После запуска поддельного инсталлятора Flash Player на компьютер жертвы устанавливается один из бэкдоров группы Turla. Это может быть одна из версий Windows-бэкдора Mosquito, вредоносный файл JavaScript или неизвестный файл, загруженный с фиктивного и несуществующего URL-адреса Adobe.
Далее выполняется основная задача – эксфильтрация конфиденциальных данных. Атакующие получают уникальный идентификатор скомпрометированной машины, имя пользователя, список установленных продуктов безопасности и ARP-таблицу. На финальной стадии процесса поддельный инсталлятор загружает и запускает легитимное приложение Flash Player.
Новый инструмент используется в атаках минимум с июля 2016 г. Связь с Turla установлена на основании нескольких признаков, включающих использование бэкдора Mosquito и нескольких IP-адресов, ранее отнесенных к данной кибергруппе.
Как подчеркивают в ESET, эксперты исключают сценарии, связанные с компрометацией Adobe. Вредоносные программы группа Turla не были внедрены в какие-либо легитимные обновления Flash Player и не связаны с известными уязвимостями продуктов Adobe. Практически исключена также компрометация сайта загрузки Adobe Flash Player.