ESET: хакеры Turla атакуют пользователей Microsoft Outlook

Специалисты ESET выполнили анализ бэкдора кибершпионской группы Turla, который использовался для кражи конфиденциальных данных госучреждений в странах Европы. Хакеры управляли программой через Microsoft Outlook, отправляя команды в PDF-файлах во вложении.

Вредоносная программа была установлена на нескольких компьютерах Федерального министерства иностранных дел Германии. Чтобы достичь этой цели, операторы Turla скомпрометировали Федеральную высшую школу государственного управления и перемещались в ее сети, пока не проникли в МИД в марте 2017 года. Далее на протяжении 2017 года Outlook-бэкдор обеспечивал хакерам доступ к данным, включая почту сотрудников. 

Операторы Turla используют для связи с бэкдором электронные письма, содержащие специальным образом созданные PDF-файлы во вложении. Так они могут отправлять на зараженный компьютер целый ряд команд: выслать данные, загрузить в систему дополнительные файлы, выполнить другие программы и запросы. Собранная информация также будет отправлена хакерам в PDF. 

Бэкдор проверяет каждое входящее письмо на наличие PDF-файла с командами. Фактически, вредоносная программа выполнит команды любого, кто сможет закодировать их в PDF-документе. В свою очередь, операторы Turla могут восстановить контроль, отправив бэкдору соответствующий запрос с любого адреса электронной почты. 

Каждый раз, когда жертва получает или отправляет письмо, бэкдор сохраняет данные о нем, включая адреса отправителя и получателя, тему и название вложения. Эта информация регулярно пересылается операторам Turla в PDF-документах. 

Кроме того, бэкдор дублирует своим операторам все исходящие письма жертвы. Почта уходит одновременно с отправкой настоящих писем, поэтому подозрительный трафик за пределами рабочего дня пользователя отсутствует.  

Чтобы скрыть свою активность, бэкдор блокирует уведомления о входящих письмах от операторов. Отправленная хакерам почта также не отображается в почтовом ящике. Тем не менее, в момент поступления письма с командами жертва может видеть индикатор непрочтенного входящего сообщения в течение нескольких секунд. 

Новейшие версии бэкдора нацелены на Microsoft Outlook, более старые позволяли также работать с почтовым клиентом The Bat!, популярным в Восточной Европе. 

Вредоносная программа не первой использовала реальный почтовый ящик жертвы для получения команд и кражи данных. Однако это первый изученный бэкдор, использующий стандартный интерфейс программирования приложений электронной почты – MAPI. Это существенная доработка в сравнении с прежними версиями бэкдора. По мнению специалистов ESET, Turla – единственная кибергруппа, которая использует в настоящее время подобные инструменты.  

Кибергруппа Turla (Snake, Uroboros) получила известность в 2008 года после взлома защищенных объектов, включая сеть Центрального командования ВС США. В списке жертв – Министерство иностранных дел Финляндии (2013 г.), швейцарская оборонная корпорация RUAG (2014–2016 гг.), правительство Германии (конец 2017–начало 2018 гг.).

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Интернет, ПО, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

14.02.2019 В цифровую экономику – с цифровой неграмотностью

13.02.2019 DDoS, великий и ужасный

06.02.2019 Лидерами цифровизации являются Индия, Бразилия и Таиланд

01.02.2019 Черная полоса для рынка смартфонов

31.01.2019 Добровольно-принудительное поколение. В Москве обсудили перспективы 5G

29.01.2019 В 2019 году глобальные расходы на ИТ достигнут $3,8 трлн

23.01.2019 За умный дом пользователи готовы платить

22.01.2019 Мобильные билеты приведут к революции в городской мобильности

NNIT.RU: последние новости Нижнего Новгорода

14.02.2019 В цифровую экономику – с цифровой неграмотностью

13.02.2019 DDoS, великий и ужасный

06.02.2019 Лидерами цифровизации являются Индия, Бразилия и Таиланд

01.02.2019 Черная полоса для рынка смартфонов

31.01.2019 Добровольно-принудительное поколение. В Москве обсудили перспективы 5G

29.01.2019 В 2019 году глобальные расходы на ИТ достигнут $3,8 трлн

23.01.2019 За умный дом пользователи готовы платить

22.01.2019 Мобильные билеты приведут к революции в городской мобильности

ITSZ.RU: последние новости Петербурга

14.02.2019 В цифровую экономику – с цифровой неграмотностью

11.02.2019 Северо-Запад на две трети готов к цифровой экономике

06.02.2019 Лидерами цифровизации являются Индия, Бразилия и Таиланд

01.02.2019 Черная полоса для рынка смартфонов

31.01.2019 Добровольно-принудительное поколение. В Москве обсудили перспективы 5G

29.01.2019 В 2019 году глобальные расходы на ИТ достигнут $3,8 трлн

23.01.2019 За умный дом пользователи готовы платить

22.01.2019 Мобильные билеты приведут к революции в городской мобильности