Исследователями Palo Alto Networks зафиксирована кибершпионская кампания, предположительно являющаяся продолжением операции Dark Seoul/Operation Troy, активность которой была свернута после публикации информации о ней в 2013 году.
Специалисты сделали такой вывод, исходя из результатов проведенного ими анализа атак, которые были совершены на сайты европейских транспортных предприятий в июне текущего года.
Экспертами было идентифицировано вредоносное программное обеспечение, которое обладает характеристиками, схожими с троянской программой TDrop, использовавшейся в кампании 2013 года. Новая программа, названная экспертами TDrop2, предназначается для проведения наблюдения за целевым объектом и использует аналогичные TDrop методы сетевых коммуникаций и шифрования.
В ходе недавних атак хакеры применяли в качестве C&C-серверов взломанные веб-ресурсы. На данный момент неясно, каким образом был осуществлен взлом сайтов, но все они используют один и тот же хостинг и работают под управлением устаревшего программного обеспечения, которое, вероятно, содержит серьезные уязвимости.
Специалистами из Palo Alto Networks отмечается наличие существенных различий между кампаниями 2013 и 2015 годов. Так, теперь вместо южнокорейских ресурсов объектами кибершпионской активности выступают европейские. Также замечено отсутствие разрушающей активности со стороны вредоносного программного обеспечения, несмотря на то, что оно может производить загрузку дополнительных компонентов.
Как отмечают эксперты Palo Alto Networks, хакерские группы могут на некоторое время затаиться, особенно после того, как информация о них была публично раскрыта, как это было в случае с операцией Dark Seoul/Operation Troy. Внесение изменений в инфраструктуру является трудоемким процессом, и случаи, когда хакерами применяется специализированный инструментарий, который был разработан для определенных групп, довольно редки.