Связанная с ФСБ группа Turla, занимающаяся кибершпионажем, научилась атаковать цели, которые ранее были заражены вирусами других хакеров. На это обращает внимание компания по кибербезопасности Mandiant.
Компания Mandiant впервые обнаружила новую технику Turla в сентябре 2022 года, когда специалисты заметили брешь в одной из систем в Украине. Несколько компьютеров сети были заражены после того, как кто-то вставил USB-накопитель в один из их портов и дважды щелкнул вредоносный файл на диске, который был замаскирован под папку, установив часть вредоносного ПО под названием Andromeda.
Andromeda — относительно распространенный банковский троян, который киберпреступники использовали для кражи учетных данных жертв еще с 2013 года. Но на одном из зараженных устройств аналитики Mandiant увидели, что образец Andromeda незаметно загрузил два других, более необычных фрагмента вредоносного ПО. Первый, разведывательный инструмент под названием Kopiluwak, ранее использовался Turla; вторым была часть вредоносного ПО, известная как Quietcanary, которая сжимала и перекачивала тщательно отобранные данные с целевого компьютера, и в прошлом использовалась тоже исключительно Turla. «Это было для нас тревожным сигналом, — говорит аналитик по угрозам Mandiant Габби Ронкоун.
Эта техника заражения, по-видимому, предназначена для того, чтобы позволить Turla оставаться незамеченной, скрываясь за спинами других хакеров. Это показывает, что методы российской группы изменились и стали намного изощреннее за последние полтора десятилетия, — говорит Джон Халтквист, руководитель отдела анализа разведывательных данных в Mandiant:
«Поскольку вредоносное ПО уже распространялось через USB, Turla может использовать это, не раскрывая себя. Вместо того, чтобы использовать свои собственные инструменты USB, такие как agent.btz, они могут использовать чужие. Они используют операции других людей. Это действительно умный способ ведения бизнеса».