Специалисты провели анализ бэкдора кибершпионской группы Turla, который использовался для кражи конфиденциальных данных госучреждений в странах Европы. Хакеры использовали Microsoft Outlook для управления программой, отправляя команды в PDF-файлах во вложении.

По данным пресс-службы ESET, вредоносная программа была установлена на компьютерах МИД ФРГ. Операторы Turla скомпрометировали Федеральную высшую школу государственного управления и перемещались в ее сети, пока не вышли на МИД в марте 2017 года.

Бэкдор обеспечивал хакерам доступ к данным сотрудников внешнеполитического ведомства Германии на протяжении 2017 года.

Как сообщает ESET, Turla использовала для связи с программой электронные письма, содержащие специальные PDF-файлы. Таким образом хакеры отправляли на зараженный компьютер команды выслать данные, загрузить в систему дополнительные файлы, выполнить другие программы и запросы.

Фактически программа выполнит команды любого пользователя, который сможет закодировать их в PDF-документе, однако операторы Turla сохраняют контроль над бэкдором.

«Каждый раз, когда жертва получает или отправляет письмо, бэкдор сохраняет данные о нем, включая адреса отправителя и получателя, тему и название вложения. Эта информация регулярно пересылается операторам Turla в PDF-документах», — говорится в пресс-релизе ESET.

При этом почта уходит одновременно с отправкой настоящих писем, поэтому за пределами рабочего дня сотрудника подозрительный трафик отсутствует. Для того чтобы скрыть свою активность, программа также блокирует уведомления о входящих письмах от хакеров. Тем не менее в момент поступления письма с PDF-файлом пользователь может видеть индикатор непрочтенного письма в течение нескольких секунд.

Более старые версии бэкдора позволяли работать с почтовым клиентом The Bat!, который популярен в странах Восточной Европы.

Программа является первым изученным бэкдором, использующим стандартный интерфейс программирования приложений электронной почты. Это существенная доработка в сравнении с прежними версиями бэкдора. По мнению ESET, Turla — единственная кибергруппа, которая использует подобные инструменты в настоящее время.

Ранее стало известно, что сайты университетов Британии, США и 12 других стран могли быть взломаны хакерской группой Cobalt Dickens, которую связывают с Вооруженными силами Ирана.