Так, по словам Леонарда, Turla – хакгруппа, управление которую часто приписывают ФСБ России, – недавно разместила приложение для Android на домене, подделывающем ресурс украинского батальона «Азов», который власти России считают националистическим. На сайте опубликовано обращение к пользователям на английском языке.
«Присоединитесь к Cyber Azov и помогите остановить *** против Украины! Мы – сообщество свободных людей по всему миру, которые борются против *** России. Мы набираем целеустремленных людей, готовых помочь нам в нашем деле. Мы разработали Android-приложение, которое атакует интернет-инфраструктуру России», – отмечается на сайте.
Это первый случай распространения вредоносного ПО Turla, связанного с Android, утверждают представители Google. Фейковое приложение не размещалось в Google Play Store, а размещалось на домене и распространялось по ссылкам в сторонних службах обмена сообщениями под видом выполнения атак типа «отказ в обслуживании» против ряда российских веб-сайтов. Однако так как DDoS состоит только из одного запроса GET на целевой веб-сайт (чего недостаточно для эффективной атаки), у аналитиков закрались сомнения в его «искренности».
С какого приложения скопировали
Билли Леонард отмечает, что аналитики Google обнаружили, с кого Turla брала пример при создании своего фейкового приложения.
Так, в марте 2022 г. аналитики нашли проукраинский веб-сайт, который использовался для распространения приложения для Android StopWar.apk. Оно также проводило DoS-атаки на российские веб-сайты, предлагая присоединиться к этому процессу всем желающим, и не только ИТ-специалистам.
«Это приложение сильно отличается от приложений Turla, описанных выше и написанных другим разработчиком, – говорит инженер. – Оно также загружает список целевых объектов с внешнего сайта, но, в отличие от приложений Turla, постоянно отправляет запросы на целевые веб-сайты, пока пользователь не остановит его».
Революция в DLP: как ИИ защищает конфиденциальные данные от утечек?Чем известна группировка Turla
Киберкампания Turla была впервые описана экспертами «Лаборатории Касперского» в 2014 г., они же утверждали, что ее операторы – русскоязычные. Также АРТ-группировка известна под названиями Snake, Uroburos, Waterbug, VenomousBear и Krypton. Хакеры проявляли активность примерно с 2007 г.
Международный информационно-аналитический проект Recorded Future, базирующийся в США и Швеции, в 2014 г. опубликовал обзор деятельности российских «проправительственных» хакерских группировок. Аналитики заявляли, что главными целями хакеров, связанных с ФСБ России, являются шпионаж, подготовка к кибервойне и управление геополитической ситуацией.
Существовало убеждение, что хакеры Turla не трогают российские компании. Однако в 2020 г. несколько российских организаций были атакованы новой разновидностью вредоносной программы AcidBox, которая использует вариант эксплойта, созданного Turla.
- Лучший софт для обеспечения ИТ-безопасности компании ― на ИТ-маркетплейсе Market.CNews. С ценами.