Экспертами «Лаборатории Касперского» обнаружена новая вредоносная JavaScript-программа, связанная с активностью кибершпионской группировки Turla. Видимо, хакеры используют для сбора данных о жертвах вредоносную программу KopiLuwak.
Активность Turla фиксируется с 2007 года. Прежде всего хакеров интересуют правительственные ведомства и частные фирмы. Злоумышленники пользуются разнообразными хакерскими утилитами, включая руткиты Snake, Uroburos, Epic Turla и Gloog Turla. В июне минувшего года кибергруппировка начала применять вредоносную JavaScript-программу Icedcoffee, а сейчас Turla работает с KopiLuwak.
Согласно информации «Лаборатории Касперского», KopiLuwak применялась для кибератак на организации в Греции, Катаре и Румынии. Распространение вредоносной программы осуществляется посредством электронных сообщений, которые замаскированы под официальное письмо для министра иностранных дел Кипра от посольства Катара. Секретарь посла Катара значится как отправитель письма, что дает экспертам основание предполагать о взломе компьютерной сети дипломатической миссии.
Проникнув на систему, вредоносная программа начинает собирать данные. Украденные сведения временно сохраняются в файле, который удаляется после шифровки информации и ее сохранения в памяти. Хакеры управляют KopiLuwak с помощью нескольких взломанных сайтов, перечень которых внедрен в тело троянской программы. По словам исследователей, вредоносная программа имеет простой, но гибкий функционал, который позволяет выполнять и стандартные, и произвольные команды посредством Wscript.