Turla yangi zararli dasturlar bilan qurollangan.
Topinambour zararli dasturi, tomchilatib yuboruvchi, hujumning birinchi bosqichi bo’lib, josuslik dasturlari troyanini tarqatdi.
Turla kiberjinoyatchilar guruhi o‘z arsenalini davlat idoralariga hujum qilish uchun vositalar to‘plami bilan yangiladi. Xususan, hujumchilar hujumlarning birinchi bosqichida qo‘llaniladigan “Topinambour” nomli tomchidan foydalanmoqda. O’rnatilgandan so’ng, u boshqa zararli dasturlarni tizimga yuklaydi, Turla maqsadli tarmoqlarga kirish va ma’lumotlarni olish uchun foydalanadi. “Kasperskiy laboratoriyasi” ma’lumotlariga ko‘ra, jinoyatchilar yangi modullarni tarqatish uchun “Topinambour” tomchisi bilan zararlangan qonuniy dasturiy ta’minot o‘rnatuvchilardan foydalanmoqda. Bularga Softether VPN 4.12 va psiphon3 yoki Microsoft Office faollashtiruvchilari kabi internet tsenzurasini chetlab o’tish vositalari kiradi. Ikkinchisi qaroqchilar tomonidan Microsoft Office-ni kalit sotib olmasdan faollashtirish uchun ishlatiladi.
Rus tilida so‘zlashuvchi “Turla” xakerlar guruhi (Ilon, Zaharli ayiq, Waterbug va Uroboros) G‘arb hukumatlariga, shuningdek, postsovet mamlakatlaridagi elchixonalar va konsulliklarga hujumlari bilan mashhur.
«Topinambour» C&C serveridan buyruqlarni tinglaydigan va ularni bajaradigan «mayda .NET qobig’ini» o’z ichiga oladi. C&C infratuzilmasining o’zi buzilgan WordPress saytlari va bulut xizmatlarida joylashgan. Kampaniya operatorlari “aniq foydalanish” va “nusxa olish” buyruqlaridan foydalanib, keyingi bosqichdagi zararli modullarni – KopiLuwak vositasini, shuningdek, yangi MiamiBeach va RocketMan-ni tarqatadilar! PowerShell va .NET da yozilgan troyanlar.
MiamiBeach va RocketMan! fayllarni yuklash, yuklab olish va bajarish, shuningdek tizim ma’lumotlarini to’plash. PowerShell versiyasi ham skrinshot olish imkoniyatiga ega. Shuningdek, ular C&C serveridan olingan buyruqlarni bajara oladigan yakuniy, murakkabroq zararli modulni yuklab olishadi.
Tadqiqotchilarning fikriga ko’ra, turli tillarda o’xshash funktsional troyanlarni yaratish aniqlashdan qochishga qaratilgan bo’lishi mumkin. Agar kompyuterda bitta versiya aniqlansa, operatorlar boshqa tildagi o’xshash versiyaga murojaat qilishlari mumkin. KopiLuwak analoglarini ishlab chiqish troyanlarning ma’lum JavaScript versiyalarini aniqlash xavfini minimallashtirish orqali amalga oshirilishi mumkin.
