«Лаборатория Касперского» опубликовала исследование вредоносного ПО Travle, предположительно созданного китайскоговорящими злоумышленниками. Бэкдор Travle может быть преемником NetTraveler — семейства зловредов, известного с 2013 года. Изначально целями этой группы в основном были дипломатические, правительственные и военные организации. Среди целей Travle также преобладают правительственные организации, военные подразделения и высокотехнологичные компании из России и стран СНГ.
Метод шифрования, использовавшийся при доставке бэкдора, применялся ранее для доставки двух других зловредов — Enfal и Microcin, также связанных с NetTraveler. Любопытно, что Travle получил такое название из-за опечатки в одной строке в ранних образцах троянца: «Travle Path Failed!». В более поздних выпусках опечатку исправили на «Travel». Обыгрывание темы путешествий, а также другие пересечения в Travle и NetTraveler явно не случайны.
«NetTraveler существует с 2004 года, про Enfal мы рассказывали в 2011, а за самим Travle наблюдаем с 2015 года. При этом во всей цепочке просматривается явная связь, и злоумышленников мало волнует, что их могут отследить антивирусные компании. Модификации и новые дополнения к арсеналу этой группы хакеров обнаруживаются довольно быстро, отчасти как раз из-за того, что используются похожие на протяжение многих лет методы доставки и шифрования. Однако злоумышленников, похоже, это не беспокоит. Защитные решения на предприятиях, в компаниях и государственных организациях все еще внедряются не везде, а если внедряются, то часто не хватает квалифицированного персонала для качественной обработки оповещений об атаках. Это играет на руку киберпреступности — довольно высокая результативность кибератак приводит к тому, что все больше людей вовлекается в эту деятельность, все больше инструментов для атак создается. Учитывая, что атакам подвергаются государственные и правительственные организации, эта тенденция внушает серьезные опасения», — отметил Дмитрий Тараканов, ведущий антивирусный эксперт «Лаборатории Касперского».