Группировка Turla взломала сервер конкурентов из OilRig для загрузки собственных вредоносов
За прошедшие 18 месяцев Turla атаковала 13 организаций в 10 различных странах мира.
Русскоязычная киберпреступная группировка Turla взломала инфраструктуру своих конкурентов из OilRig для проникновения в сеть организации, представляющей интерес для обеих групп.
Turla (также известна под названиями Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton) специализируется на кибершпионаже, список ее жертв включает различные организации — от военных и правительственных структур до компаний в сфере образования и научных исследований. OilRig (Crambus, APT34, HelixKitten), которую ИБ-эксперты связывают с иранским правительством, также занимается кибершпионажем и в основном атакует правительственные организации и предприятия в странах Ближнего Востока.
За прошедшие 18 месяцев специалисты Symantec зафиксировали три кампании, организованные Turla. В общей сложности группировка атаковала 13 организаций в 10 различных странах мира (министерства в Европе, странах Латинской Америки и Ближнего Востока, а также компании в сфере IT и образования). В ходе одной из таких кампаний группировка взломала инфраструктуру OilRig для компрометации компьютера в сети одной из целевых организаций. Что интересно, другие компьютеры в сети Turla атаковала, используя собственную инфраструктуру. Хотя исследователи допускают возможность сотрудничества между двумя группировками, им не удалось найти доказательства в поддержку данной теории.
Одним из свидетельств взлома может служить использование модифицированного варианта Mimikatz (инструмент для сбора учетных данных), ранее замеченного только в атаках Turla. Кроме того, утилита IntelliAdmin, используемая группировкой OilRig в своих операциях, загружалась на компьютер жертвы с помощью созданного Turla бэкдора.
По словам экспертов, OilRig первой скомпрометировала целевую сеть в ноябре 2017 года, а признаки активности Turla в той же сети были замечены в январе 2018 года. При этом часть компьютеров была взломана Turla, а часть — OilRig.
Исследователи высказали несколько предположений о мотивах подобного поведения Turla. В частности, группировка могла использовать такой ход, чтобы запутать ИБ-экспертов, или просто воспользовалась возможностью с целью получить доступ к жертве.
