Углеродный след: ESET препарировала Carbon

04.04.2017

Специалисты ESET выполнили анализ Carbon — бэкдора второго этапа из арсенала кибергруппировки Turla. Хакеры Turla используют широкий спектр инструментов, предназначенных для кибершпионажа. Жертвами группировки становились крупные организации из Европы и США. В 2016 году одна из модификаций Carbon использовалась в атаке на швейцарский оборонный холдинг RUAG.

Кибергруппа вносит изменения в свои вредоносные программы после их обнаружения и постоянно дорабатывает инструментарий, меняя мьютексы и названия файлов в каждой новой версии. Это справедливо и для Carbon — за три года с момента разработки бэкдора и до настоящего времени специалисты компании наблюдали восемь активных версий.

Группировка известна тщательной поэтапной работой в скомпрометированных ИТ-сетях. Первоначально хакеры проводят разведку в системе жертвы и только после этого развертывают наиболее сложные инструменты, включая Carbon.

Классическая атака начинается с того, что пользователь получает фишинговое письмо или заходит на скомпрометированный сайт — как правило, это площадка, которую часто посещают потенциальные жертвы (метод watering hole). После успешной атаки на компьютер жертвы устанавливается бэкдор первого этапа — например, Tavdig или Skipper. Он собирает информацию о зараженном устройстве и сети. Если цель показалась интересной, на ключевые системы будет установлен бэкдор второго этапа — такой как Carbon.

Carbon отличает сложная архитектура. Вредоносная программа состоит из дроппера, компонента, отвечающего за связь с управляющим C&C сервером, загрузчика и оркестратора.

Специалисты ESET обнаружили сходство Carbon с другим известным инструментом группы Turla — руткитом Uroburos. По мнению экспертов, Carbon может быть «облегченной» версией Uroburos (без компонентов ядра и эксплойтов).