Фахівці Eset виявили новий метод компрометації робочих станцій, який використовує кібергрупа Turla. Техніка застосовується в атаках, націлених на співробітників посольств та консульств країн пострадянського простору.

Група Turla спеціалізується на операціях кібершпигунства. Її жертвами ставали великі організації з Європи та США, 2016 року хакери провели атаку на швейцарський оборонний холдинг RUAG. Характерні для Turla методи – атаки типу watering hole та цільовий фішинг. Як показало нове дослідження Eset, група удосконалює інструментарій.

Хакери Turla об'єднали в пакет власний бекдор та програму-установник Adobe Flash Player, а також впровадили спеціальні техніки, щоб домени та IP-адреси завантаження підробленого софту зовні нагадували легітимну інфраструктуру Adobe. Ці заходи змушують потенційну жертву повірити, що вона завантажує справжнє програмне забезпечення з сайту adobe.com, хоча це не відповідає дійсності – заміна легітимного установника шкідливим здійснюється на одному з етапів шляху від серверів Adobe до робочої станції.

Фахівці Eset припускають, що подібна атака може здійснюватися такими способами. Одна з машин в корпоративній мережі жертви може бути зламана, щоб використовувати як плацдарм для локальної атаки Man-in-the-Middle (MitM). Далі під час атаки трафік комп'ютера жертви буде перенаправлений на компрометовану машину в локальній мережі. Атакуючі можуть скомпрометувати мережевий шлюз організації для перехоплення вхідного та вихідного трафіку між корпоративною мережею та інтернетом.

Перехоплення трафіку може здійснюватися на рівні інтернет-провайдера (ISP) – тактика відома з недавнього дослідження Eset, присвяченого кібершпигунству. Відомі жертви перебувають у різних країнах і, за даними Eset, використовують послуги щонайменше чотирьох провайдерів. Хакери можуть виконати атаку на BGP-маршрутизатори (Border Gateway Protocol hijacking) для перенаправлення трафіку на контрольований сервер, хоча ця тактика, швидше за все, привернула б увагу систем моніторингу.

Після запуску підробленого інсталятора Flash Player на комп'ютер жертви буде встановлений один із бекдорів групи Turla. Це може бути одна з версій Windows-бекдора Mosquito, шкідливий JavaScript або невідомий файл, завантажений з фіктивного і неіснуючого URL-адреси Adobe.

Далі виконується основне завдання – ексфільтрація конфіденційних даних. Атакуючі отримують унікальний ідентифікатор компрометованої машини, ім'я користувача, список встановлених продуктів безпеки та ARP-таблицю.

На фінальної стадії процесу підроблений інсталятор завантажує та запускає легітимну програму Flash Player.

Новий інструмент використовується в атаках щонайменше з липня 2016 року. Зв'язок з Turla встановлений на підставі декількох ознак, що включають використання бекдору Mosquito та декількох IP-адрес, раніше віднесених до цієї кібергрупи.

У Eset виключають сценарії, пов'язані з компрометацією Adobe. Шкідливі програми група Turla не були впроваджені в будь-які легітимні оновлення Flash Player і не пов'язані з відомими вразливістю продуктів Adobe. Практично виключено також компрометацію веб-сайту завантаження Adobe Flash Player.