Rosyjscy hakerzy wyciągają dziesięcioletnie oprogramowanie hakerskie, które może okazać się skuteczne

Rosyjska grupa hakerów Turla, została namierzona przez badaczy cyberbezpieczeństwa i okazało się, że hakerzy wskrzesili dziesięcioletnie narzędzie do infekowania i szpiegowania Ukraińskiej infrastruktury.

Raport ekspertów ds. cyberbezpieczeństwa Mandiant wykazał, że w połowie 2022 roku Turla ponownie zarejestrowała wygasłe domeny Andromedy, popularnego trojana bankowego, który był szeroko rozpowszechniany prawie dekadę temu — w 2013 roku.

W ten sposób grupa przejmowała serwery kontroli złośliwego oprogramowania (C2), uzyskując dostęp do zainfekowanych już punktów końcowych i ich wrażliwych informacji.

Jedną z zalet tego nowatorskiego podejścia, jak twierdzą badacze, jest możliwość pozostania w ukryciu przed badaczami cyberbezpieczeństwa.

„Ponieważ złośliwe oprogramowanie już rozprzestrzeniło się poprzez USB, Turla może wykorzystać to bez narażania się. Zamiast używać własnych narzędzi USB, takich jak agent.btz, mogą wykorzystać cudze hacki” – mówi John Hultquist, główny analityk wywiadu w Mandiant. „Wykorzystują operacje innych grup hakerskich. To naprawdę sprytny sposób prowadzenia działań”.

Jednak tym, co wywołało alarm u Mandiant jest fakt, że Andromeda wdrożyła dwa dodatkowe elementy złośliwego oprogramowania — narzędzie zwiadowcze o nazwie Kopiluwak oraz backdoor o nazwie Quietcanary. To właśnie ten pierwszy element zdradził, że jest to narzędzie, które w przeszłości było wykorzystywane również przez Turlę.

W sumie zaobserwowano, że trzy wygasłe domeny zostały ponownie zarejestrowane w zeszłym roku, łączące się z „setkami” infekcji Andromedy, wszystkie dają Turli dostęp do wrażliwych danych. „Robiąc to, można w zasadzie znacznie lepiej ukryć się przed wykryciem. Nie spamujesz grupy ludzi, pozwalasz komuś innemu to robić” – mówi Hultquist. „Wtedy zaczynasz wybierać, które cele są warte twojego czasu i twojej ekspozycji”.

Turla wykorzystała to nowatorskie podejście do kierowania ataków na punkty końcowe na Ukrainie, poinformowali badacze, dodając, że jak dotąd jest to jedyny atakowany kraj tym sposobem.