Углеродный след: ESET препарировала Carbon, сложный бэкдор кибергруппировки Turla

Специалисты ESET выполнили анализ Carbon – бэкдора второго этапа из арсенала кибергруппировки Turla.

Хакеры Turla используют широкий спектр инструментов, предназначенных для кибершпионажа. Жертвами группировки становились крупные организации из Европы и США. В 2016 году одна из модификаций Carbon использовалась в атаке на швейцарский оборонный холдинг RUAG. 

Кибергруппа вносит изменения в свои вредоносные программы после их обнаружения и постоянно дорабатывает инструментарий, меняя мьютексы и названия файлов в каждой новой версии. Это справедливо и для Carbon – за три года с момента разработки бэкдора и до настоящего времени специалисты ESET наблюдали восемь активных версий. 

Turla известна тщательной поэтапной работой в скомпрометированных ИТ-сетях. Первоначально хакеры проводят разведку в системе жертвы и только после этого развертывают наиболее сложные инструменты, включая Carbon. 

Классическая атака начинается с того, что пользователь получает фишинговое письмо или заходит на скомпрометированный сайт – как правило, это площадка, которую часто посещают потенциальные жертвы (метод watering hole). После успешной атаки на компьютер жертвы устанавливается бэкдор первого этапа – например, Tavdig или Skipper. Он собирает информацию о зараженном устройстве и сети. Если цель показалась интересной, на ключевые системы будет установлен бэкдор второго этапа – такой как Carbon. 

Carbon отличает сложная архитектура. Вредоносная программа состоит из дроппера, компонента, отвечающего за связь с управляющим C&C сервером, загрузчика и оркестратора. 

Специалисты ESET обнаружили сходство Carbon с другим известным инструментом группы Turla – руткитом Uroburos. По мнению экспертов, Carbon может быть «облегченной» версией Uroburos (без компонентов ядра и эксплойтов).

Редактор раздела: Тимофей Белосельцев (info@mskit.ru)

Рубрики: ПО, Безопасность

наверх
 
 
     
Оставить комментарий
Имя:
E-mail:
Комментарий (не более 2000 знаков):



ИЛИ
     
 

MSKIT.RU: последние новости Москвы и Центра

24.05.2018 MVNO: управляемая мутация или «коза с баяном»?

24.05.2018 Цифровизация в эпоху агрессивной неопределенности

24.05.2018 Автономные машины: счет пойдет на миллионы

16.05.2018 Роботы наступают на юристов

16.05.2018 Россияне не верят ТВ, но смотреть будут

15.05.2018 Обсуждение проблематики архивного хранения электронных документов на международной конференции «От пергамена к цифре»: ЭОС задает тон

26.04.2018 Промышленность на грани информационного краха

26.04.2018 ИИ на триллион

NNIT.RU: последние новости Нижнего Новгорода

24.05.2018 MVNO: управляемая мутация или «коза с баяном»?

24.05.2018 Автономные машины: счет пойдет на миллионы

16.05.2018 Роботы наступают на юристов

16.05.2018 Россияне не верят ТВ, но смотреть будут

15.05.2018 Обсуждение проблематики архивного хранения электронных документов на международной конференции «От пергамена к цифре»: ЭОС задает тон

26.04.2018 Промышленность на грани информационного краха

26.04.2018 ИИ на триллион

23.04.2018 Медиатор блокировок. Кто решил стать посредником в Рунете

ITSZ.RU: последние новости Петербурга