Η Ομάδα Ανάλυσης Απειλές (TAG) της Google, της οποίας ο πρωταρχικός στόχος είναι να υπερασπιστεί τους χρήστες της Google από κρατικές επιθέσεις, δήλωσε σήμερα ότι οι ομάδες απειλών που υποστηρίζονται από τη Ρωσία εξακολουθούν να εστιάζουν τις επιθέσεις τους σε ουκρανικούς οργανισμούς.
Σε μια αναφορά σχετικά με την πρόσφατη δραστηριότητα στον κυβερνοχώρο στην Ανατολική Ευρώπη, ο μηχανικός ασφαλείας του Google TAG Billy Leonard αποκάλυψε ότι χάκερ που ανήκουν στην ομάδα Turla Russian APT έχουν επίσης εντοπιστεί να αναπτύσσουν το πρώτο τους κακόβουλο λογισμικό Android.
Το καμουφλάρισαν ως εργαλείο επίθεσης DDoS και το φιλοξένησαν στο cyberazov[.]com, έναν τομέα που πλαστογραφούσε το ουκρανικό σύνταγμα Azov.
“Αυτή είναι η πρώτη γνωστή περίπτωση της Turla που διανέμει κακόβουλο λογισμικό που σχετίζεται με το Android. Οι εφαρμογές δεν διανεμήθηκαν μέσω του Google Play Store, αλλά φιλοξενήθηκαν σε έναν τομέα που ελέγχεται από τον ηθοποιό και διαδόθηκαν μέσω συνδέσμων σε υπηρεσίες ανταλλαγής μηνυμάτων τρίτων”, εξήγησε.
“Η εφαρμογή διανέμεται υπό το πρόσχημα της εκτέλεσης επιθέσεων άρνησης υπηρεσίας (DoS) εναντίον ενός συνόλου ρωσικών ιστοτόπων. Ωστόσο, το “DoS” αποτελείται μόνο από ένα μόνο αίτημα GET στον ιστότοπο-στόχο, όχι αρκετό για να είναι αποτελεσματικό.”
Οι αναλυτές του Google TAG πιστεύουν ότι οι χειριστές της Turla χρησιμοποίησαν την εφαρμογή StopWar Android που αναπτύχθηκε από φιλο-Ουκρανούς προγραμματιστές (που φιλοξενείται στο stopwar[.]pro) όταν δημιουργούσαν τη δική τους ψεύτικη εφαρμογή DDoS «Cyber Azov».