Сентябрь 3rd, 2023 
raven000 Организация ESET опубликовала итоги подробного теста бекдора Carbon из запаса кибергруппировки Turla.
За кибершпионской кампанией Turla, скорее всего, стоят российские учредители. От деятельности мошенников пострадали тысячи клиентов в не менее чем 45 государствах, например государственные и дипломатичные заведения, боевые, учебные, экспериментальные компании, и лекарственные компании.
Хакеры Turla применяют обширный диапазон приборов. Один из них — упомянутый зловред Carbon. Эта самая вредная платформа применялась в атаке на немецкий оборонческий концерн RUAG.
Кибергруппировка Turla известна кропотливой раздельной работой в скомпрометированных IT-сетях. Изначально хакеры проводят разведку в системе жертвы и лишь после этого развёртывают наиболее трудные приборы, включая Carbon.
Традиционная атака стартует с того, что клиент приобретает фишинговое послание либо входит на дискредитированный веб-сайт — обычно, это площадь, которую довольно часто навещают возможные жертвы. После удачной атаки на персональный компьютер жертвы ставится бекдор первого раунда — к примеру, Tavdig либо Skipper. Он собирает информацию о заражённом устройстве и сети. Если цель показалась любопытной, на главные системы будет установлен бекдор 2-го раунда — Carbon.
Специалисты узнали, что Carbon характеризуется трудной архитектурой. Вредная платформа состоит из дроппера, компонента, отвечающего за зависимость с правящим компьютером, загрузчика и прочие. На данный момент найдено по меньшей мере 8 версий зловреда.
Эксперты ESET обнаружили подобие Carbon с иным популярным инвентарем компании Turla — руткитом Uroburos. По словам специалистов, Carbon вполне может быть «облегчённой» модификацией Uroburos (без элементов ядра и эксплойтов). Подробнее об изучении вы можете узнать тут.
Опубликовано в рубрике 
