Четверг, 28 мая, 04:46
дома инет Turla: шпионский инструмент нацелен на правительства и дипломатов

Turla: шпионский инструмент нацелен на правительства и дипломатов

Киберэкспедиционная кампания, в которую входят известные Вредоносная программа Wipbot и Turla систематически преследует правительства и посольства в ряде стран бывшего Восточного блока. это Trojan.Wipbot (или Tavdig) состоит из задней двери, которая используется для облегчения распознавания активности, прежде чем злоумышленник перейдет в долгосрочное наблюдение, используя Trojan.Turla (также известный как Uroboros, Змейка и карбон). Предполагается, что эта комбинация вредоносных программ использовалась в шпионских операциях классического типа в последние годы 4. Из-за выбранных целей и передовых вредоносных программ, Symantec Считает, что за этими атаками стоит группа, получившая государственное финансирование.

Turla

Turla предлагает атакующему мощные шпионские возможности. Установите для запуска каждый раз, когда компьютер запускается, как только пользователь запускает один Web браузер, открывает заднюю дверь, позволяющую общаться с злоумышленниками. Через этот черный ход злоумышленники могут копировать файлы с зараженного компьютера, удалять файлы, загружать и запускать другие вредоносные программы, в том числе.

Команда, стоящая за Turla, основана на двухсторонней стратегии атаки, которая включает в себя участие жертвы через копье. фишинг электронная почта и атаки по «водопойной дыре». Атаки по «водопойной дыре» имеют адекватные возможности воздействия: злоумышленники атакуют ряд законных веб-сайтов и атакуют только тех жертв, которые посещают их с IP-адресов по умолчанию. Эти ошибочные сайты несут Trojan.Wipbot, Весьма вероятно, что Wipbot используется как загрузчик для передачи Turla жертве.

жертвы

В то время как инфекции первоначально появились в ряде европейских стран, более глубокий анализ показал, что некоторые инфекции в Западной Европе происходили на компьютерах, которые были подключены к частным сетям в странах бывшего Восточного блока. Эти инфекции произошли в посольствах этих стран.

Анализ инфекций показал, что злоумышленники были сосредоточены на небольшом числе стран. Например, в мае 2012 офис премьер-министра страны-члена бывшего Советского Союза был нарушен. Эта инфекция быстро распространилась, и более чем компьютеры 60 в офисе премьер-министра были взломаны.

Еще одна атака была совершена на компьютер в посольстве Франции в другой стране, принадлежащей бывшему Советскому Союзу, в конце 2012, Во время 2013 заражение распространилось на другие компьютеры, подключенные к сети МИД страны. Министерство внутренних дел также заражено. Дополнительные исследования выявили систематическую шпионскую кампанию, нацеленную на дипломатический корпус. Подобные инфекции были вовлечены в Бельгии, Украине, Китае, Иордании, Греции, Казахстане, Армении, Польше и Германии.

По крайней мере, еще пять стран региона подверглись подобным атакам. В то время как нападавшие в основном сосредоточились на бывшем Восточном блоке, другие цели были найдены. К ним относятся министерство здравоохранения Западной Европы, министерство образования страны в Центральной Америке, орган государственной власти на Ближнем Востоке и поставщик медицинских услуг в США.

Точки атаки

Команда позади Turla использует копье фишинг электронная почта и поливать дырки, чтобы заразить ее жертв. Некоторые из копья фишинг электронная почта должны были прийти от военного последователя посольства на Ближнем Востоке и иметь прикрепленный файл с кратким изложением встречи. Открыв файл, Trojan.Wipbot автоматически зашел на компьютер жертвы. Считается, что Wipbot может быть механизмом доступа Turla, так как он напоминает структуру и код.

Начиная с сентября 2012, команда взломала, по крайней мере, законные сайты 84, чтобы облегчить атаки водопоя. Веб-страницы, принадлежащие различным правительствам или международным агентствам, были среди тех, которые были нарушены злоумышленниками.

Черепаха 1

Eikona1. гарпун фишинг электронная почта и поливать атаки отверстие используются для заражения жертв трояном.Wipbot, который затем можно использовать для установки трояна.Turla.

Turla

Η Symantec определила деятельность группы, которая создала Turla в течение нескольких лет. Идентификационные данные злоумышленников еще не были сертифицированы, хотя все действия, связанные с атаками, указывают на то, что большинство атак происходят в часовом поясе UTC + 4.

Троянец Turla - эволюция старого вредоносного ПО Trojan.Minit, который был запущен 2004. Сегодняшняя кампания является результатом хорошо подготовленной команды, способной проникнуть в ряд сетей. Он сфокусирован на целях, которые могут представлять интерес для государственных субъектов, и его целью является отслеживание и перехват конфиденциальных данных.

обнаружение

Η Symantec имеет следующие инструменты отслеживания для вредоносных программ, используемых в атакахς

AV

IPS

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

SecNews
SecNewshttps://www.secnews.gr
В мире без заборов и стен, которым нужны ворота и окна

LIVE NEWS

Linux Kodachi: версия v7.0 была выпущена со многими новыми приложениями

Недавно была выпущена новая версия Linux Kodachi. Хотя эта функция не очень известна ...

Безопасность в облаке: усилить атаки на онлайн-сервисы

В последние месяцы атаки киберпространства, нацеленные на облачные сервисы, значительно усилились, поскольку киберпреступники пытаются ...

Ransomware: выкуп, требуемый хакерами, увеличился в 14 раз

Ransomware стал одной из самых коварных угроз за последние два года, когда хакеры усиливают свою деятельность ...

Новая поправка для онлайн-наблюдения за американцами!

После трех дней переговоров члены парламента достигли соглашения о защите частной жизни американских граждан. Поправка ...

Дональд Трамп против Твиттера или Твиттер против Дональда Трампа?

Во вторник Twitter указал на два твита Дональда Трампа, в которых утверждалось, что голосование по почте может ...

Приложение Aarogya Setu Индии с открытым исходным кодом

Индия недавно объявила, что выпустит исходный код приложения для мониторинга короны, известного как ...

Samsung разрабатывает новый чип безопасности для смартфонов

Как было объявлено во вторник, Samsung выпустила новую микросхему защищенного элемента (SE) для более эффективной защиты ...

Красный Крест: «Давайте прекратим кибератаки в больницах»

Красный Крест и другие организации призывают правительства создать альянс, чтобы остановить кибератаки в больницах.

LiveJournal: миллионы пользовательских учетных данных продаются в темной сети

Учетные данные и данные от 26 миллионов пользователей LiveJournal продаются в Интернете и в темной сети.

Линус Торвальдс обновил свой компьютер до процессора AMD

Когда-то для многих пользователей процессоры AMD уступали процессорам Intel. С...