Организация ESET опубликовала итоги подробного теста бекдора Carbon из запаса кибергруппировки Turla.
За кибершпионской кампанией Turla, скорее всего, стоят российские учредители. От деятельности мошенников пострадали тысячи клиентов в не менее чем 45 государствах, например государственные и дипломатичные заведения, боевые, учебные, экспериментальные компании, и лекарственные компании.
Хакеры Turla применяют обширный диапазон приборов. Один из них — упомянутый зловред Carbon. Эта самая вредная платформа применялась в атаке на немецкий оборонческий концерн RUAG.
Кибергруппировка Turla известна кропотливой раздельной работой в скомпрометированных IT-сетях. Изначально хакеры проводят разведку в системе жертвы и лишь после этого развёртывают наиболее трудные приборы, включая Carbon.
Традиционная атака стартует с того, что клиент приобретает фишинговое послание либо входит на дискредитированный веб-сайт — обычно, это площадь, которую довольно часто навещают возможные жертвы. После удачной атаки на персональный компьютер жертвы ставится бекдор первого раунда — к примеру, Tavdig либо Skipper. Он собирает информацию о заражённом устройстве и сети. Если цель показалась любопытной, на главные системы будет установлен бекдор 2-го раунда — Carbon.
Специалисты узнали, что Carbon характеризуется трудной архитектурой. Вредная платформа состоит из дроппера, компонента, отвечающего за зависимость с правящим компьютером, загрузчика и прочие. На данный момент найдено по меньшей мере 8 версий зловреда.
Эксперты ESET обнаружили подобие Carbon с иным популярным инвентарем компании Turla — руткитом Uroburos. По словам специалистов, Carbon вполне может быть «облегчённой» модификацией Uroburos (без элементов ядра и эксплойтов). Подробнее об изучении вы можете узнать тут.