Эксперты «Лаборатории Касперского» и исследователи из университета King’s College London начали изучать возможную связь между серией кибератак на правительственные ресурсы США в конце
В 1998 году ФБР и Министерство обороны США взялись расследовать взломы в сетях правительственных и военных организаций страны, а также в ряде университетов и исследовательских институтов. Общественность узнала об атаках Moonlight Maze только год спустя — в
Работая над своей книгой «Rise of the Machines», Томас Рид (Thomas Rid) из университета King’s College London в 2016 году связался с бывшим системным администратором, который работал в той самой организации, чьи серверы были взломаны и превращены в прокси-сервер Moonlight Maze. Вышедший на пенсию IT-специалист сохранил сам сервер и копии всех артефактов, имевших отношение к атакам 1998 года. Все материалы он передал исследователям из King’s College London и экспертам «Лаборатории Касперского». За девять месяцев работы аналитики смогли реконструировать операции Moonlight Maze, их инструменты и техники, а также попытались найти подтверждение связи этой группировки с Turla.
В своих атаках на сети и компьютеры под управлением ОС Solaris группировка Moonlight Maze использовала инструменты, построенные на открытом ПО (Unix). Для проникновения в системы своих жертв атакующие использовали бэкдор на базе LOKI2 — программы, выпущенной в 1996 году и предназначенной для извлечения данных через скрытые каналы. Эта находка заставила аналитиков повторно разобрать редкие образцы вредоносного ПО Turla под Linux, которые были обнаружены в 2014 году. Как выяснилось, эти зловреды также были созданы на базе LOKI2. Более того, в них использовался код, написанный в период между 1999 и 2004 гг.
Примечательно, что этот старый код до сих пор используется в атаках, которые приписывают Turla. В 2011 году он был замечен во вредоносной операции, нацеленной на швейцарского военного подрядчика Ruag. А в марте 2017 года образец бэкдора, содержащего этот код, был извлечен из сети предприятия в Германии. Возможно, группировка Turla использует старый код под Linux в атаках на особо важные и хорошо защищенные цели, поскольку таким образом им легче проникнуть в сеть, чем в случае применения стандартного инструментария под Windows.
«В конце
Защитные решения «Лаборатории Касперского» детектируют и блокируют вредоносное ПО, используемое Moonlight Maze и Turla.