Кибершпионская группа Turla взломала инфраструктуру иранской хак-группы OilRig

Рекомендуем почитать:

Xakep #242. Фаззинг

• Содержание выпуска
• Подписка на «Хакер»

Эксперты Symantec зафиксировали интересный случай: русскоязычная хакерская группа Turla (она же Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton), известная ИБ-специалистам уже давно, взломала другую небезызвестную хак-группу, иранскую APT34 (она же Oilrig, HelixKitten и Crambus).

Напомню, что первое официальное упоминание Turla датировано 2008 годом и связано с взломом Министерства обороны США. Кроме того, ИБ-специалисты обнаруживали следы Turla в атаках 20-летней давности. Впоследствии с группой связывали многочисленные инциденты информационной безопасности – захват спутниковых каналов связи для маскировки своей деятельности, атаки на органы государственного управления и стратегические отрасли, включая оборонную промышленность.

Согласно недавно опубликованному отчету ESET, недавно в арсенале Turla был обнаружен новый мощный инструмент, который хакерам удавалось скрывать на протяжении пяти лет, как минимум с 2014 года. Бэкдор, названный LightNeuron, предназначен для компрометации почтовых серверов Microsoft Exchange и функционирует как агент пересылки сообщений (mail transfer agent, MTA), что совсем нетипично для подобной малвари.

Последние 18 месяцев эксперты Symantec наблюдала за тремя кампаниями Turla. Так, с начала 2018 года Turla атаковала 13 организаций в 10 различных странах, включая министерства иностранных дел в странах Латинской Америки, Ближнего Востока и Европы, министерство внутренних дел в Южной Азии, две правительственные организации на Ближнем Востоке и в Юго-Восточной Азии, а также правительственное учреждение неназванной страны в Южной Азии, базирующееся в другой стране.

В одном из этих случаев аналитики обнаружили доказательства того, что в ноябре 2017 года Turla (Symantec называет группировку Waterbug) взломала инфраструктуру иранской APT34. В итоге серверы «конкурентов» использовались для распространения малвари среди систем ранее уже зараженных вредоносами Oilrig.

Так, первое свидетельство активности Turla было замечено 11 января 2018 года, когда инструмент Turla (планировщик задач msfgi.exe) был загружен на компьютер в сети жертвы. На следующий день, 12 января 2018 года, Turla вновь использовала сеть APT34, загрузив дополнительную малварь на другие компьютеры, ранее скомпрометированные APT34, распространяя инструмент для кражи учетных данных Mimikatz. По информации Symantec, целью группировки стали власти неназванной страны Ближнего Востока.

При этом исследователи отмечают, что Oilrig, похоже, никак не отреагировали на взлом своей инфраструктуры, хотя иранская APT оставалась активной в сети правительственного учреждения до конца 2018 года, используя для этого другую управляющую инфраструктуру. При этом присутствие Turla в той же сети тоже сохранялось как минимум до сентября 2018 года.

Также в своем отчете эксперты Symantec детально описывают и обновленный инструментарий Turla, включая:

• новый кастомный дроппер, обычно использующийся для установки бэкдора Neptun, предназначенного для серверов Microsoft Exchange;
• кастомные инструменты, построенные на базе похищенных у АНБ решений — EternalBlue, EternalRomance, DoublePulsar, SMBTouch;
• средство для сбора данных с USB, которое проверяет подключенные к зараженной машине USB-накопители и ворует файлы определенных типов, зашифровывая их в архив RAR;
• скрипты Visual Basic и PowerShell, использующиеся для разведки после первоначального заражения и первичных краж учетных данных;
• публично доступные инструменты, такие как IntelliAdmin для выполнения команд RPC, SScan и NBTScan для сетевой разведки, PsExec для развития атаки, а также Mimikatz (Hacktool.Mimikatz) для кражи учетных данных и Certutil.exe для загрузки и дешифровки удаленных файлов.

Источник