Turla - новый супер-сложный вредонос


Vredonosnii kod TurlaTurla - шпионское программное обеспечение, разработанное с целью инфицировать правительственные компьютеры в Европе и США. По своей логике вредонос является одним из сложнейших за всю историю.

Западные специалисты по ИТ-безопасности, а также разведывательные агентства полагают, что данное вредоносное ПО было разработано Российскими вирусописателями, и, соответственно, работает в интересах официальных российских властей. Также бытует предположение, что вредонос Turla связан с тем же программным обеспечением, которое уже поражало американские военные сети в 2008 году.

Все эти утверждения были основаны на анализе тактики хакеров, а также на множестве технических индикаторов и жертвах, которые были атакованы Turla. К тому же, это сложное программное обеспечение похожее на другие эксплоиты российского производства. Оно использует шифрование и ориентировано на западные правительства.

Однако эксперты по безопасности из независимых компаний утверждают, что связь с Россией - это лишь догадка, которую невозможно подтвердить до тех пор, пока Москва не возьмет на себя ответственность за создание кода. Конечно, это будет проблематично, т.к. в Turla разработчики используют много технологий для сокрытия собственной личности.

Напомним. Изначально новый российский вредонос был задетектирован немецкой антивирусной компанией G Data, в результате он получил названием Uroburos. Специалисты G Data прокомментировали найденный вредоносный код, и подвели итог, в котором говорится, что российские про-правительственные хакеры пишут достаточно качественный с точки зрения функционала софт и умело скрывают свою личность, а также очень эффективно поддерживают контроль над зараженными ресурсами и сетями. Здесь тактика атак выбирается очень избранно и подгоняется под конкретную жертву. Например, китайские про-правительственные хакеры атакуют максимально широко, надеясь хотя бы единожды попасть в цель.

Далее. В пятницу 7 марта британский оборонный подрядчик BAE Systems Applied Intelligence также сообщил о выявлении нового вредоносного кода, атакующего британские правительственные учреждения. Здесь вредонос получил наименование Snake. Специалисты из BAE также отметили чрезвычайно высокую сложность кода.

Конечно, до сих пор не удалось установить, являются ли Turla, Uroburos и Snake одним и тем же кодом.

Продолжим. По данным антивирусной компании Symantec, уже сейчас жертвами Turla стали около 1000 сетей. Кроме того, специалисты компании считают, что за Turla и ранее обнаруженным кодом Agent BTZ стоят одни и те же люди, а подавляющим большинством среди жертв - стали правительственные агентства.

Другая компания F-Secure впервые столкнулась с Turla еще в прошлом году при расследовании комплексной атаки в интересах одного из заказчиков. В компании утверждают, что Turla и Agent.BTZ - это коды одного семейства. При этом первые примеры данного семейства были использованы для атаки на Центральное командование США в 2008 году.

Также специалисты F-Secure говорят, что про-российские коды использовались в том же 2008 году для атаки на сети НАТО. Сейчас неизвестны названия кодов, использованных тогда для атак, однако в прошлом году похожий код был использован для нападения на Министерство иностранных дел Финляндии.

В AlienVault Labs также известно о Turla. Однако здесь данный вредонос описывают как "фреймворк" для шпионажа, а не как единичное вредоносное ПО. Выявленный ими код создает клиентский руткит, который скрывает свое присутствие посредством создания шифрованной виртуальной файловой системы, в которую уводятся краденные данные. К тому же архитектура вредоноса такова, что оператор атаки может добавлять во вредонос дополнительные модули с новым функционалом.

На данный момент известно, что кодами Turla пользуются и в данный момент, т.к. управляющие сервера, на которые стекаются данные, постоянно обновляются и при отключении одного сервера в сети тут же появляется новый.


Обновлено (11.03.2014 11:27)