Киберпреступники Turla атакуют пользователей Microsoft Outlook бэкдором

Олег Иванов 27 Августа 2018 - 15:07

Домашние пользователи

Корпорации

Eset

Утечки информации

Умышленные утечки информации

Кража данных

...

Киберпреступники Turla атакуют пользователей Microsoft Outlook бэкдором

Эксперты антивирусной компании ESET проанализировали бэкдор кибершпионской группы Turla, используемый для кражи конфиденциальных данных госучреждений в странах Европы. Киберпреступники управляли программой через Microsoft Outlook, отправляя команды в PDF-файлах во вложении.

Вредоносная программа была найдены на нескольких компьютерах Федерального министерства иностранных дел Германии. Изначально злоумышленники скомпрометировали Федеральную высшую школу государственного управления и перемещались в ее сети, пока не проникли в МИД в марте 2017 года.

Бэкдор на протяжении года обеспечивал хакерам доступ к данным, включая почту сотрудников.

Операторы Turla используют для связи с бэкдором электронные письма, содержащие специально созданные PDF-файлы во вложении. Так они могут отправлять на зараженный компьютер целый ряд команд: выслать данные, загрузить в систему дополнительные файлы, выполнить другие программы и запросы. Собранная информация также будет отправлена киберпреступникам в формате PDF.

Бэкдор проверяет каждое входящее письмо на наличие PDF-файла с командами. Следовательно, зловред выполнит команды любого, кто сможет закодировать их в PDF-документе.

Каждый раз, когда жертва получает или отправляет письмо, бэкдор сохраняет данные о нем, включая адреса отправителя и получателя, тему и название вложения. Эта информация регулярно пересылается операторам Turla в PDF-документах.

Кроме того, бэкдор дублирует своим операторам все исходящие письма жертвы. Почта уходит одновременно с отправкой настоящих писем, поэтому подозрительный трафик за пределами рабочего дня пользователя отсутствует.

Чтобы скрыть свою активность, бэкдор блокирует уведомления о входящих письмах от операторов. Отправленная хакерам почта также не отображается в почтовом ящике. Однако у пользователя есть шанс заподозрить неладное — в момент поступления письма с командами можно видеть индикатор непрочтенного входящего сообщения в течение нескольких секунд.

Новейшие версии бэкдора нацелены на Microsoft Outlook, более старые позволяли также работать с почтовым клиентом The Bat!.

Специалисты уточняют, что это первый бэкдор, использующий стандартный интерфейс программирования приложений электронной почты – MAPI. В ESET отдали должное профессионализму Turla — на данный момент это единственная группа, способная создавать подобные вредоносные инструменты.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Яков Шпунт 27 Апреля 2026 - 12:53

Ошибки конфигурации программ Сбои программ Домашние пользователи

Сайты не открываются: россияне жалуются на сбои из-за Защиты интернета

В России у многих пользователей стали некорректно загружаться веб-сайты. Наиболее вероятная причина — сбои в работе защиты от фишинговых и других потенциально опасных ресурсов, которую некоторые операторы связи включают самостоятельно. Проблемы начинают появляться после активации опции «Защита интернета», причём, по данным СМИ, операторы могут подключать её без явного согласия пользователей.

Как сообщает портал Digital Report, проблемы с доступом к веб-ресурсам наблюдаются в течение последних нескольких недель.

По данным издания, сервис основан на технологии глубокой инспекции пакетов (DPI). Представители операторов объясняют его использование попыткой действовать на опережение: злоумышленники всё чаще обходят базовые антифишинговые механизмы, основанные на сигнатурном подходе.

При этом число атак продолжает расти, как и ущерб от них. Превентивная защита должна снизить риски для пользователей, а вместе с ними — и количество претензий к операторам со стороны абонентов, пострадавших от мошеннических схем.

Однако такая защита может давать ложные срабатывания. Чаще всего проблемы возникают при обращении к облачным сервисам, отдельным корпоративным ресурсам и онлайн-играм.

Чтобы отключить функцию, пользователям приходится обращаться в техническую поддержку оператора, которая часто перегружена, либо самостоятельно искать нужную настройку. При этом, по словам абонентов, она может быть спрятана довольно глубоко.

Опрошенные изданием юристы отмечают, что действия операторов могут быть не вполне законными. Подключение услуг, даже бесплатных, требует явного согласия абонента. В противном случае такие действия можно расценивать как навязывание услуги, что противоречит требованиям законодательства о защите прав потребителей. Кроме того, подобная практика может нарушать принцип сетевой нейтральности.