Группировка Turla добавила новое вредоносное ПО к шпионским операциям России против Украины

Связанные с российским государством хакеры на протяжении нескольких лет разрабатывали и применяли малоизвестное вредоносное ПО для шпионажа за украинскими правительственными и военными организациями, а также целями по всей Европе.

Что за вредонос?

Вредонос, получивший название StockStay, находится в активной разработке как минимум с декабря 2022 года, сообщили исследователи компании Google в опубликованном в четверг отчёте. Основными целями были украинские правительственные и оборонные организации, хотя ранние образцы вредоноса также были обнаружены в Италии, Нидерландах, Польше и Германии.

Кто такая Turla?

Turla (также известна как Secret Blizzard и Venomous Bear) — одна из старейших российских группировок кибершпионажа, которую западные правительства и исследователи безопасности связывают с ФСБ России.

По данным Google, StockStay имеет значительное сходство в коде и функциональности с Kazuar — другим инструментом Turla, ранее применявшимся в шпионских операциях против военных и оборонных целей в Украине. Исследователи считают, что StockStay был намеренно разработан по образцу Kazuar, что отражает опыт группировки с более старым инструментарием.

Группировка, похоже, инвестирует в избыточные параллельные экосистемы вредоносного ПО, чтобы обеспечить постоянный доступ даже в случае обнаружения и устранения отдельных инструментов.

— Google

Google охарактеризовала Turla как «постоянную и активную угрозу».

Эволюция вредоноса

StockStay значительно изменился с момента первого появления. Первоначально маскировавшийся под приложение для отслеживания биржевых котировок, в последнее время вредонос принимает облик легитимного программного обеспечения — например, программ для чтения PDF и калькуляторов.

Как происходило заражение?

Жертвы обычно заражались через фишинговые письма с вредоносными файлами конфигурации RDP (Remote Desktop Protocol), которые подключали скомпрометированные компьютеры к инфраструктуре атакующих, позволяя им разворачивать дополнительное вредоносное ПО.

Исследователи отметили, что Turla неоднократно использовала академическую и дипломатическую тематику в качестве приманки для жертв:

• В одной кампании фишинговые письма рассылались со скомпрометированного аккаунта украинского университета
• В другой группировка злоупотребила дипломатической образовательной платформой для распространения вредоносных писем и файлов