Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення раніше невідомого бекдора під назвою Crutch та програми для викрадення документів. Ці шкідливі інструменти для кібершпигунства, які використовувались з 2015 року принаймні до початку 2020 року, дослідники пов’язують з відомою групою кіберзлочинців Turla.
Дослідники ESET виявили бекдор Crutch у мережі Міністерства закордонних справ у країні Європейського Союзу, що дозволяє припустити зосередженість кіберзлочинців на конкретних цілях. Ці інструменти були розроблені для завантаження викрадених конфіденційних документів та інших файлів до облікових записів Dropbox, які контролювалися операторами Turla.
«Основна шкідлива діяльність групи Turla — це викрадення документів та інших конфіденційних файлів. Витонченість атак та виявлені технічні деталі підтверджують наявність значних ресурсів у групи Turla для роботи з таким великим та різноманітним арсеналом, — коментує Матьє Фау, дослідник ESET. — Крім того, Crutch може обійти деякі рівні безпеки, несанкціоновано використовуючи легітимну інфраструктуру, в даному випадку Dropbox, з метою проникнення в звичайний мережевий трафік та викрадення документів».
Для приблизного визначення годин роботи кіберзлочинців дослідники ESET експортували час завантаження ZIP-файлів в облікові записи Dropbox. Для цього було зібрано 506 різних часових міток в період з жовтня 2018 року до липня 2019 року, які вказують на години активності зловмисників, а не роботи пристроїв жертв. Відповідно оператори, швидше за все, працюють у часовому поясі UTC+3.
Години роботи операторів Crutch на основі завантажень у Dropbox
Під час дослідження спеціалісти ESET виявили зв'язок між завантажувачем Crutch 2016 року та Gazer. Останній, також відомий як WhiteBear, є додатковим бекдором, який використовувався кіберзлочинцями Turla в 2016-2017 роках.
Варто нагадати, що група кіберзлочинців Turla активна більше десяти років та займається кібершпигунством. Зокрема зловмисники атакують урядові установи у всьому світі, особливо дипломатичні організації, використовуючи великий набір шкідливих програм.
Для отримання додаткової інформації про атаки Turla Crutch перейдіть за посиланням.