Национальный центр кибербезопасности Великобритании (NCSC) опубликовал результаты исследования, проведенного совместно с Агентством национальной безопасности США. Доклад посвящен известной русскоязычной хакерской группировке Turla и ее новому методу работы — она проникла в инфраструктуру иранских хакеров, «украла» у иранцев доступ к взломанным ими серверам и сам хакерский инструментарий, который теперь использует в собственных целях.
«Группа Turla, также известная как „Водяной жук“ и „Ядовитый медведь“, широко известна как группа, связанная с силами из России», — говорится в предисловии к докладу. Она занимается взломом правительственных, военных, энергетических и других организаций с целью сбора данных. На Западе ее связывают с российскими спецслужбами.
Чем известна Turla
Ранее NCSC обнаружила, что хакеры из этой группировки используют программные «закладки» под названием Neuron и Nautilus, которые позволяют взламывать серверы на платформах Microsoft Windows. После дополнительного анализа эксперты пришли к выводу, что Neuron и Nautilus — это софт иранских хакеров. Причем сами иранцы, которые их создали и использовали, «почти наверняка не знали об использовании Turla своих программных закладок и не были замешаны в их использовании», полагают в NCSC.
Сначала россияне находили серверы, уже взломанные иранцами, и брали их под собственный контроль, а потом развернули чужой хакерский инструментарий против новых жертв. «Turla сканировала серверы на наличие иранских „закладок“ и пыталась использовать их для укрепления своих позиций. Основное их внимание при этом было сосредоточено на Ближнем Востоке», — говорится в докладе.
Спецслужбы полагают, что Turla смогла проделать эту работу, взломав самих иранских коллег. «Чтобы установить связь с „закладками“, Turla должна была иметь доступ к соответствующим криптографическим ключам и, вероятно, доступ к контролирующему их программному обеспечению», — поясняют NCSC.
Более того, группировка использовала в качестве инструмента иранскую сетевую инфраструктуру. На иранских серверах Turla установила собственные закладки — и в результате получила доступ к файлам иранских хакеров, а также «беспрецедентную осведомленность о тактике, методах и процедурах иранских APT, включая списки жертв и учетные данные для доступа к их инфраструктуре — а также код, необходимый для создания новых версий таких инструментов, как Neuron».
В других случаях хакеры использовали Neuron для взлома серверов, к которым они уже получили доступ с помощью руткита Snake — их собственной разработки (само слово Snake — еще один псевдоним группировки).
С помощью всего этого инструментария за последние 18 месяцев Turla успешно взломала организации по меньшей мере в 20 странах, сообщает Reuters со ссылкой на сотрудников британских спецслужб. Они же сообщили агентству, что взломанная Turla иранская группировка называется APT34.
В докладе NCSC также содержатся рекомендации, как проверять серверы на наличие взлома с помощью Neuron, Nautilus и Snake. Это характерный код (по ссылке — документ .pdf), а также подпись, которую оставляет Turla, — строчки «!!!MAY BE SHELL!!! (check version) !!!MAY BE SHELL!!! (100%)».
Глава оперативного отдела NCSC Пол Чичестер назвал публикацию доклада предупреждением: «Мы хотим четко дать понять, что даже когда киберпреступники пытаются замаскировать свою личность, наши возможности в конечном счете позволят их идентифицировать».
Что еще писали про русских хакеров
- Исследователи создали карту всех российских кибератак. Хакеры из России оказались еще опаснее, чем все думали
- Глава ФСБ: террористы могут маскировать свои хакерские атаки, чтобы выдавать их за действия госструктур
- В Алабаме три больницы перестали принимать пациентов из-за атаки вируса, созданного русскими хакерами
- Российский хакер Андрей Тюрин признался в самой крупной кибератаке на американский банк
APT
Термин APT (advanced persistent threat) был введен Военно-воздушными силами США в 2006 году для описания нового вида кибератак. Это мощная групповая атака с распределением ролей, которая пытается замаскировать свое присутствие. Цель атаки — это, как правило, доступ к ценным данным.
Руткит
От англ. root kit — «корневой пакет». Программы, которые позволяют скрыть присутствие в системе вредоносного ПО. Как правило, это набор утилит, который злоумышленник устанавливает на взломанные компьютеры после получения доступа к их корневым системам.