Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Группировка Turla взломала сервер конкурентов из OilRig для загрузки собственных вредоносов

21/06/19

hack12-1Русскоязычная киберпреступная группировка Turla взломала инфраструктуру своих конкурентов из OilRig для проникновения в сеть организации, представляющей интерес для обеих групп.

Turla (также известна под названиями Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton) специализируется на кибершпионаже, список ее жертв включает различные организации - от военных и правительственных структур до компаний в сфере образования и научных исследований. OilRig (Crambus, APT34, HelixKitten), которую ИБ-эксперты связывают с иранским правительством, также занимается кибершпионажем и в основном атакует правительственные организации и предприятия в странах Ближнего Востока.

За прошедшие 18 месяцев специалисты Symantec зафиксировали три кампании, организованные Turla. В общей сложности группировка атаковала 13 организаций в 10 различных странах мира (министерства в Европе, странах Латинской Америки и Ближнего Востока, а также компании в сфере IT и образования). В ходе одной из таких кампаний группировка взломала инфраструктуру OilRig для компрометации компьютера в сети одной из целевых организаций. Что интересно, другие компьютеры в сети Turla атаковала, используя собственную инфраструктуру. Хотя исследователи допускают возможность сотрудничества между двумя группировками, им не удалось найти доказательства в поддержку данной теории.

Одним из свидетельств взлома может служить использование модифицированного варианта Mimikatz (инструмент для сбора учетных данных), ранее замеченного только в атаках Turla. Кроме того, утилита IntelliAdmin, используемая группировкой OilRig в своих операциях, загружалась на компьютер жертвы с помощью созданного Turla бэкдора.

По словам экспертов, OilRig первой скомпрометировала целевую сеть в ноябре 2017 года, а признаки активности Turla в той же сети были замечены в январе 2018 года. При этом часть компьютеров была взломана Turla, а часть - OilRig.

Исследователи высказали несколько предположений о мотивах подобного поведения Turla. В частности, группировка могла использовать такой ход, чтобы запутать ИБ-экспертов, или просто воспользовалась возможностью с целью получить доступ к жертве.

Темы:ПреступленияSymantecTurla
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...