«Лаборатория Касперского»: вредонос Turla похож на бэкдор двадцатилетней давности




10:57 10.04.2017 |   3113



Исследователи пришли к выводу, что оба вредоноса созданы на базе программы с открытым кодом LOKI2, опубликованной журналом Phrack еще в 1996 году.

Исследователи из «Лаборатории Касперского» и Королевского колледжа Лондона обнаружили сходство между бэкдором Penquin Turla, который используется неизвестными для взлома правительственных систем в различных странах мира, и кодом вредоносной программы, применявшейся для аналогичных целей в рамках хакерской операции Moonlight Maze в 1990-х.

Исследователи пришли к выводу, что оба вредоноса созданы на базе программы с открытым кодом LOKI2, опубликованной журналом Phrack еще в 1996 году.

Атаки Moonlight Maze были направлены против систем с Sun Solaris, а вредоносы Turla атакуют компьютеры с Windows. Но Penquin обычно применяется в атаках второй волны, осуществляемых именно в отношении Unix-серверов.

Turla связывают с российскими хакерами, основываясь на присутствии кириллических строк в двоичном коде вредоносов. Сотрудники ФБР, расследовавшие в 1990-х атаки Moonlight Maze, тоже пришли к выводу о том, что их устраивал кто-то из России. После того как в 1999-м были опубликованы результаты расследования, атаки Moonlight Maze прекратились. Вредоносы семейства Turla, между тем, известны с 2008 года.

Исследователи отмечают, что в исполняемых файлах Turla Penquin помимо следов LOKI2 обнаружены версии библиотек libpcap и OpenSSL от начала 2000-х.


Теги: Информационная безопасность Лаборатория Касперского Вредоносный код
На ту же тему: