Подробная информация о кибернападениях на компьютерные системы швейцарского военно-промышленного холдинга Ruag, осуществленных одновременно с проведением Давосского экономического форума в мае нынешнего года, была опубликована аналитическим центром MELANI.
Составители доклада не стали обнародовать сведения об объеме украденной информации и об ответственных за кибернападение. В отчете указано, что злоумышленники применяли вредоносное программное обеспечение Turla, а также ряд руткитов и троянских программ. Согласно информации экспертов, вредоносное программное обеспечение находилось в системах Ruag как минимум с 2014 года.
В отчете говорится о том, что хакерские атаки на Ruag – это часть крупномасштабной кибершпионской кампании Epic Turla. Хакеры рассылали фишинговые письма с PDF-эксплоитами, осуществляли атаки типа watering hole, используя эксплоиты для уязвимостей в Adobe Flash, Internet Explorer, Java, а также применяли социальную инженерию.
После проникновения в компьютерную сеть Ruag злоумышленники стремились повысить свои привилегии и заразить другие устройства. В качестве главной цели хакеры избрали службу каталогов Microsoft Active Directory, которая дает возможность захватывать контроль над другими устройствами и получать доступ к информации, представляющей интерес. Далее полученные данные передавались на C&C-серверы, которые потом давали инфицированным устройствам новые инструкции.