Эксперты зафиксировали возрождение операции Dark Seoul
09.12.2015
Исследователи Palo Alto Networks зафиксировали кампанию по кибершпионажу, которая может быть продолжением операции Dark Seoul/Operation Troy, прекратившей свою активность после обнародования информации о ней в 2013 году. Такой вывод был сделан на основе анализа серии атак, совершенных на сайты транспортного сектора в Европе в июне 2015 года.
Эксперты идентифицировали вредоносное ПО, обладающее схожими характеристиками с трояном TDrop, который использовался в кампании 2013 года. Новый образец, получивший наименование TDrop2, предназначен для осуществления рекогносцировки на целевом объекте и применяет методы шифрования и сетевых коммуникаций аналогичные своему предшественнику.
В недавних атаках группировка использовала скомпрометированные web-сайты в качестве C&C-серверов. В настоящее время неизвестно, каким образом были взломаны ресурсы, но все они используют один и тот же хостинг и работают под управлением устаревшего ПО, которое, по всей вероятности, может содержать серьезные уязвимости.
Специалисты Palo Alto отмечают наличие значительных различий между атаками 2015 и 2013 годов. В частности, это смена целевых объектов с южнокорейских ресурсов на европейские, а также тот факт, что вредоносное ПО не проявляет разрушающей активности, хотя способно загружать дополнительные компоненты.
"Киберпреступным группировкам свойственно "залегать на дно" на некоторое время, особенно после публичного раскрытия информации о них, как это было в случае с операцией Dark Seoul/Operation Troy. Изменение инфраструктуры и техник – процесс трудоемкий и случаи, когда хакеры используют специализированные инструменты, разработанные для определенных групп, довольно редки", - отмечают эксперты Palo Alto Networks.
