«Лаборатория Касперского» опубликовала исследование вредоносного ПО Travle, предположительно созданного китайскоговорящими злоумышленниками. Бэкдор Travle может быть преемником NetTraveler — семейства зловредов, известного с 2013 года. Изначально целями этой группы в основном были дипломатические, правительственные и военные организации. Среди целей Travle также преобладают правительственные организации, военные подразделения и высокотехнологичные компании из России и стран СНГ.
Метод шифрования, использовавшийся при доставке бэкдора, применялся ранее для доставки двух других зловредов — Enfal и Microcin, также связанных с NetTraveler. Любопытно, что Travle получил такое название из-за опечатки в одной строке в ранних образцах троянца: «Travle Path Failed!». В более поздних выпусках опечатку исправили на «Travel». Обыгрывание темы путешествий, а также другие пересечения в Travle и NetTraveler явно не случайны.
Бэкдор Travle начинает обмен данными с C2-сервером с отправки собранной информации о целевой операционной системе в POST-запросе HTTP на веб-адрес, сформированный из C2-домена и указанный в параметрах пути. Отправляемая информация включает идентификатор пользователя и имя компьютера, раскладку клавиатуры, версию ОС, IP- и MAC-адреса. Как только C2-сервер получает первый пакет, он отправляет в ответ блок данных со следующей информацией: URL-путь для получения команд, URL-путь для отчетов о результатах выполнения команд, URL-путь для скачивания файлов с C2, URL-путь для отправки файлов на C2, первый и второй серверный ключ RC4 и идентификатор C2. После получения этого пакета Travle ждет дополнительных команд с сервера.
«NetTraveler существует с 2004 года, про Enfal мы рассказывали в 2011 году, а за самим Travle наблюдаем с 2015 года. При этом во всей цепочке просматривается явная связь, и злоумышленников мало волнует, что их могут отследить антивирусные компании. Модификации и новые дополнения к арсеналу этой группы хакеров обнаруживаются довольно быстро, отчасти как раз из-за того, что используются похожие на протяжении многих лет методы доставки и шифрования. Однако злоумышленников, похоже, это не беспокоит. Защитные решения на предприятиях, в компаниях и государственных организациях все еще внедряются не везде, а если внедряются, то часто не хватает квалифицированного персонала для качественной обработки оповещений об атаках. Это играет на руку киберпреступности — довольно высокая результативность кибератак приводит к тому, что все больше людей вовлекается в эту деятельность, все больше инструментов для атак создается. Учитывая, что атакам подвергаются государственные и правительственные организации, эта тенденция внушает серьезные опасения», — отметил Дмитрий Тараканов, ведущий антивирусный эксперт «Лаборатории Касперского».