Turla guruhi oʻzining zararli dasturini yuklash uchun oʻzining raqobatchisi OilRig serverini buzib kirgan.
O’tgan 18 oy ichida Turla 10 xil davlatdagi 13 tashkilotga hujum qildi.
Rus tilida so’zlashuvchi «Turla» kiberjinoyatchilar guruhi o’zining raqobatchisi OilRig infratuzilmasini buzib, ikkala guruhni qiziqtirgan tashkilot tarmog’iga kirishdi.
Turla (shuningdek, Waterbug, Snake, WhiteBear, VENOMOUS BEAR va Kypton nomi bilan ham tanilgan) kiberjosuslikda ixtisoslashgan boʻlib, harbiy va davlat idoralaridan tortib taʼlim va tadqiqot muassasalarigacha boʻlgan tashkilotlarni nishonga oladi. OilRig (Crambus, APT34, HelixKitten) Xavfsizlik mutaxassislari Eron hukumati bilan bog’laydi, shuningdek, kiberjosuslik bilan shug’ullanadi va birinchi navbatda Yaqin Sharqdagi hukumat tashkilotlari va bizneslariga hujum qiladi.
So’nggi 18 oy ichida Symantec tadqiqotchilari Turla tomonidan uyushtirilgan uchta kampaniyani hujjatlashtirdilar. Umuman olganda, guruh 10 xil davlatdagi 13 tashkilotga hujum qildi (Yevropa, Lotin Amerikasi va Yaqin Sharqdagi vazirliklar, shuningdek, IT va ta’lim kompaniyalari). Ushbu kampaniyalardan birida guruh maqsadli tashkilotlardan birining tarmog’idagi kompyuterni buzish uchun OilRig infratuzilmasini buzdi. Qizig‘i shundaki, Turla o‘z infratuzilmasi yordamida tarmoqdagi boshqa kompyuterlarga hujum qilgan. Tadqiqotchilar ikki guruh o’rtasidagi hamkorlik ehtimoli haqida taxmin qilishsa-da, ular bu nazariyani tasdiqlovchi dalil topa olmadilar.
Buzg’unchilikning bir belgisi – ilgari faqat Turla hujumlarida ko’rilgan Mimikatzning (hisob ma’lumotlarini yig’ish vositasi) o’zgartirilgan versiyasidan foydalanish. Bundan tashqari, OilRig guruhi o‘z faoliyatida qo‘llagan IntelliAdmin yordam dasturi Turla tomonidan yaratilgan backdoor orqali jabrlanuvchining kompyuteriga yuklab olingan.
Buzg’unchilikning bir belgisi – ilgari faqat Turla hujumlarida ko’rilgan Mimikatzning (hisob ma’lumotlarini yig’ish vositasi) o’zgartirilgan versiyasidan foydalanish. Bundan tashqari, OilRig guruhi o‘z faoliyatida qo‘llagan IntelliAdmin yordam dasturi Turla tomonidan yaratilgan backdoor orqali jabrlanuvchining kompyuteriga yuklab olingan.
Tadqiqotchilar Turlaning bunday xatti-harakati sabablari haqida bir qancha nazariyalarni ilgari surdilar. Aniqrog‘i, guruh axborot xavfsizligi bo‘yicha mutaxassislarni chalg‘itish uchun ushbu hiyla-nayrangdan foydalangan yoki jabrlanuvchiga kirish imkoniyatidan foydalangan bo‘lishi mumkin.
