Кибератаку на МИД Австрии совершили подконтрольные ФСБ хакеры Летом 2019 года "Лаборатория Касперского" опубликовала анализ, посвященный появлению "Топинамбура" в арсенале Turla, также известной как Venomous Bear ("Ядовитый медведь"), Waterbug и Uroboros

Беспрецедентную кибератаку на МИД Австрии, которая до сих пор продолжается с 3 января, скорее всего, осуществляет подконтрольная российскому ФСБ хакерская группировка Turla, также известное как Venomous Bear (“Ядовитый медведь”) с использованием своего нового шпионского инструмента Topinambour.

Об этом говорится в статье австрийского общественного телерадіомовника ORF.

“Общий ход кибернападения, как и выбранная для атаки цель высокого уровня, характерна для группы Turla, которая известна своей агрессивной “внешней разведкой”. После обнаружения Turla всегда вступает в жесткие кибербои с технарями атакуемых сетей. Сейчас это все еще происходит в министерстве иностранных дел республики”, – говорится в материале ексредактора специализированного австрийского сайта “Futurezone”, IТ-эксперта Эриха Мохеля.

По словам эксперта, большая вероятность того, что Turla использует в ходе атаки на компьютерную сеть МИД Австрии свой новый “чисто шпионский инструмент”, разработанный в прошлом году – Topinambour. Использование этого “Топинамбура” и связанных с ним новых модулей усложнило как именно обнаружения атаки, так и противостояние ей.

В своем материале автор напомнил, что летом 2019 года “Лаборатория Касперского” опубликовала анализ, посвященный появлению “Топинамбура” в арсенале Turla, также известной как Venomous Bear (“Ядовитый медведь”), Waterbug и Uroboros. Сам по себе “Топинамбур” является NET-модулем, который используется на начальных стадиях атаки и предназначен для загрузки уже известного “троянца” этой группировки KopiLuwak, написанного на JavaScript, и его новых аналогов, разработанных на базе PowerShell и .NET.

Создание “Турлой” этого вредоносного ПО с практически одинаковыми функциями, но разными языками программирования очень сильно усложнило обнаружение хакерского проникновения: после того, как на компьютере жертвы была замечена одна из версий KopiLuwak, запускается аналог “троянца” на другом языке. Кроме того, риски выявления сводятся к минимуму благодаря использованию системного реестра Windows для хранения зашифрованных данных, которые затем эксплуатируются вредоносным ПО. И в придачу вся эта шпионская IТ-инфраструктура практически не оставляет следов – единственным файловым доказательством на компьютере жертвы остается крошечный стартовый приложение.

Как отмечает Эрих Мохель, сразу после обнаружения хакерского вмешательства две недели назад IТ-специалисты австрийского МИД пытались установить файерволлы между различным подразделениями для фильтрации внутреннего трафика и идентификации инфицированных файлов. Однако, сделать это чрезвычайно сложно. Эта “безфайловая” атака, как ее называют технари, дает возможность “Ядовитому медведю” реагировать на контрмеры, которые применяют защитники: только IТ-специалисты очистили сетевой сегмент, “как прилетают новые строки Windows с обновлениями Turla, которые опять все разрушают”. При этом, просто “отключить” огромную IТ-сеть МИД невозможно, поскольку она обеспечивает бесперебойное функционирование более 100 посольств и представительств по всему миру.

Согласно эксперту, независимо от того, как долго Turla находится в спящем режиме в целевой сети, она атакует из-за какого-то повода: “Эти медведи становятся активными, как только Москве нужно что-то узнать о внешней политике”. Для примера он указывает на то, что в случаях с атаками на правительственные цели в Германии они происходили тогда, когда “политическое противостояние между странами НАТО и Россией из-за конфликта в Украине достигали апогея и шла речь о новых санкциях”.

Предполагается, что кибератака на австрийский МИД связана со сменой правительства в стране и возможным поворотом во внешней политике: пророссийского курса – как было при бывшей главе МИД Карин Кнайссль – уже не будет точно, но и сами австрийские политические обозреватели гадают, как будет вести себя Австрия: строгий нейтралитет или все же – дрейф в сторону НАТО.

В то же время, кибератаки Turla всегда “связаны с политическими процессами” и несут определенный месседж – ведь нападавшие точно знали, что рано или поздно вмешательство будет обнаружено и наглая атака на хорошо защищенную сеть не может долго оставаться незамеченной. Учитывая это, эксперт высказывает предположение: “Австрия, наверное, сделала в течение последних месяцев определенный шаг на дипломатическом и глобальном политическом уровне, который России очень не понравился”.

Укринформ
Поделитесь.