«Лаборатория Касперского» сообщила, что обнаружила кампанию кибершпионажа TunnelSnake, которая ведется с 2019 г. и направлена на дипломатические представительства в Азии и Африке. В ней применяется ранее неизвестный руткит. Программа, получившая название Moriya, позволяет совершать практически любые действия в ОС, проникать в сетевой трафик и маскировать вредоносные команды, отправляемые на зараженные устройства. С помощью Moriya злоумышленники несколько месяцев тайно контролировали сети жертв.

Руткиты известны своим умением скрываться благодаря способности проникать в саму структуру ОС. Компания Microsoft разрабатывает меры, которые затрудняют успешное развертывание и работу руткитов, особенно в ядре, и теперь большинство руткитов под Windows используются в сложных целевых атаках, таких как TunnelSnake.

Эксперты «Лаборатории Касперского» начали расследование, когда получили от защитных продуктов уведомления об обнаружении уникального руткита внутри сетей компаний-жертв. Он умеет скрываться особенно хорошо благодаря двум особенностям. Во-первых, руткит проникает в сетевые пакеты и проверяет их из пространства адресов ядра Windows – той области памяти, где обычно работает только привилегированный и доверенный код. Это позволяло ему отправлять уникальные вредоносные пакеты до их обработки сетевым стеком ОС и, как следствие, избегать детектирования защитными решениями. Во-вторых, руткиту не приходилось обращаться к серверу за командами, как обычно происходит с бэкдорами. Он получал команды в специально промаркированных пакетах, которые приходили в общем потоке сетевого трафика. Это значит, что злоумышленникам не требовалось создавать и поддерживать командно-контрольную инфраструктуру.

В большинстве случаев руткит разворачивался путем компрометации уязвимых веб-серверов внутри сетей компаний-жертв. В одном случае атакующие заразили сервер веб-оболочкой China Chopper – это вредоносный код, который позволяет удаленно контролировать зараженный сервер.

Кроме руткита Moriya злоумышленники использовали и другие инструменты – новые кастомизированные или ранее использованные китайскоговорящими APT-группами. С их помощью атакующие сканировали устройства в локальной сети, находили новые цели и распространяли вредоносное ПО.

Как отмечают в «Лаборатории Касперского», эксперты не знают, кто именно стоит за этой атакой, но, судя по целям и инструментам, это может быть одна из известных китайскоговорящих групп. Найдена также более старая версия Moriya, использовавшаяся в отдельной атаке 2018 г., следовательно, стоящая за этой кампанией группа активна как минимум с того времени. Выбор целей и инструментов позволяет предположить, что ее цель– шпионаж