По словам экспертов Fox-IT и Palo Alto Networks, русские хакеры создали новые разновидности троянских программ, имеющих целый набор новейших техник. Так, в программу Kazuar был добавлен новый API (программный интерфейс приложения), который дает операторам менять направление трафика между командным сервером и вредоносным ПО.
Программа создана посредством платформы .NET Framework и имеет три вариации – для Linux, MacOS и Windows. Эксперты Palo Alto провели анализ версии для Windows, получившей название Kazuar. Специалисты Fox-IT нашли версию для MacOS, названную Snake. Вариация для Linux пока еще не фиксировалась исследователями, но, как утверждают эксперты Palo Alto, свидетельства ее существования присутствуют в исходном коде Kazuar.
По мнению специалистов, вредоносная программа создана российской хакерской группой Turla. Вредоносное ПО пришло на замену троянской программе Uroburos, ликвидированной экспертами из G Data в 2014 году.
Kazuar запрашивает команды у управляющего сервера по адресу, внедренному в тело программы. Команды, получаемые Kazuar, совпадают с аналогичными у других троянских программ, но одна из них отличается.
Команда remote осуществляет запуск веб-сервера на инфицированном хосте, предоставляя API для удаленных соединений. Таким образом, Kazuar может менять существующий поток подключения к командному серверу. Вместо отправки зараженным хостом запросов на сервер для получения новых команд, злоумышленник может в любое время пинговать целевую систему и направлять инструкции вредоносной программе.
В результате, у атакующего есть возможность перемещения на другой командный сервер, а Kazuar может преодолевать некоторые защитные механизмы. Фактов использования вредоносной программы эксперты не зафиксировали.