Будьте готовы к «травле»: «Лаборатория Касперского» рассказала о кибератаках на российские правительственные организации

Метод шифрования, использовавшийся при доставке бэкдора, применялся ранее для доставки двух других зловредов — Enfal и Microcin, также связанных с NetTraveler. Любопытно, что Travle получил такое название из-за опечатки в одной строке в ранних образцах троянца: “Travle Path Failed!”. В более поздних выпусках опечатку исправили на “Travel”. Обыгрывание темы путешествий, а также другие пересечения в Travle и NetTraveler явно не случайны.

«NetTraveler существует с 2004 года, про Enfal мы рассказывали в 2011, а за самим Travleнаблюдаем с 2015 года. При этом во всей цепочке просматривается явная связь, и злоумышленников мало волнует, что их могут отследить антивирусные компании. Модификации и новые дополнения к арсеналу этой группы хакеров обнаруживаются довольно быстро, отчасти как раз из-за того, что используются похожие на протяжение многих лет методы доставки и шифрования. Однако злоумышленников, похоже, это не беспокоит. Защитные решения на предприятиях, в компаниях и государственных организациях все еще внедряются не везде, а если внедряются, то часто не хватает квалифицированного персонала для качественной обработки оповещений об атаках.

Это играет на руку киберпреступности — довольно высокая результативность кибератак приводит к тому, что все больше людей вовлекается в эту деятельность, все больше инструментов для атак создается. Учитывая, что атакам подвергаются государственные и правительственные организации, эта тенденция внушает серьезные опасения», — отметил Дмитрий Тараканов, ведущий антивирусный эксперт «Лаборатории Касперского».