Специалисты Symantec опубликовали отчет об опасной киберпреступной группировке, которая получила псевдоним “Waterbug”. По словам экспертов, хакеры неоднократно осуществляли кампании по кибершпионажу, используя вредоносное ПО Turla (также известное как Snake и Uroboros) и Epic Turla (также известное как Wipbot или Tavdig). Группировка начала осуществлять преступления в 2005 г. Она стала известна публике три года спустя после атаки на сеть военных сил США с применением вредоносного ПО Agent.BTZ.
По данным Symantec, хакеры успешно скомпрометировали более 4,5 тыс. систем в 100 странах. Взлому подвергались сети правительственных ведомств, исследовательские и образовательные учреждений, посольств и прочих высокопрофильных организаций. Группировка использует два способа инфицирования жертв вредоносным ПО: таргетированный фишинг с вредоносными вложениями и сеть из 84 скомпрометированных сайтов, распространяющих вредоносы. В одной из фишинговых кампаний, обнаруженных в декабре 2013 г., преступники использовали вредоносный PDF-документ, эксплуатирующий уязвимость нулевого дня в Adobe Reader и брешь в Windows для загрузки Trojan.Wipbot.
Сеть распространения вредоносного ПО, получившая название Venon, используется для осуществления атак “watering hole”, нацеленных на конкретных жертв. Скомпрометированные web-сайты находятся в разных странах. Злоумышленники следят за их посетителями и, если на ресурс заходила интересующая их жертва, осуществляли дальнейшие атаки. Скомпрометированные ресурсы размещались во Франции, Германии, Румынии и Испании. Примерно половина сайтов принадлежала правительственным организациям и СМИ. Все они использовали систему управления контента TYPO3 и размещались в одном и том же блоке сети. Злоумышленники также распространяли троян Turla, с помощью которого осуществлялся сбор данных с инфицированных компьютеров. За время наблюдения было обнаружено четыре модификации Turla: SAV, FA, ComRAT и Carbon. (Symantec/NovostIT)
