Русские кибершпионы создали троян с собственным API

Как сообщили эксперты Fox-IT и Palo Alto Networks, русские кибершпионы разработали новое поколение троянов с целым набором инновационных техник. В частности, Kazuar получил собственный API, позволяющий хакерам в случае необходимости изменять направление трафика между ним и C&C-сервером.

Вредонос разработан с помощью программной платформы .NET Framework и представлен в трех вариантах – для Windows, Mac и Linux. Исследователи Palo Alto проанализировали Windows-версию, она-то и была названа Kazuar. Эксперты Fox-IT обнаружили Mac-версию, получившую название Snake. Вариант для Linux пока еще не попал в поле зрения исследователей, однако, по словам специалистов Palo Alto, исходный код Kazuar указывает на ее существование.  

Обе компании считают, что вредонос разработан российской киберпреступной группировкой Turla, связываемой с самой продолжительной за всю историю кибершпионской кампанией. Вредоносное ПО является заменой трояну Uroburos, уничтоженному в 2014 году исследователями G Data. Для кибершпионских групп замена обнаруженных ИБ-специалистами инструментов новыми является привычной практикой.

Как и большинство других троянов, Kazuar обращается за командами к C&C-серверу по вшитому адресу. В основном получаемые вредоносом команды такие же, как и у остальных троянов, однако одна из них отличается.

Команда remote запускает web-сервер на зараженном хосте, предоставляя API для удаленных соединений. Другими словами, Kazuar способен изменять привычный поток подключения к C&C-серверу. Вместо того, чтобы инфицированный хост пинговал сервер для новых команд, атакующий может когда угодно пинговать систему жертвы и отправлять вредоносу инструкции.

Данный подход имеет два больших преимущества. Во-первых, атакующий по желанию может мигрировать на другой C&C-сервер, а во-вторых, таким образом Kazuar способен обходить некоторые решения безопасности. Использовался ли вредонос в реальных атаках, пока неизвестно.