___

​​Не только лишь преступники могут использовать выходные узлы Tor для своих темных дел. Иногда инфосек исследователи балуются тем же самым, разумеется, в интересах справедливости и правды. Исследователи сборной группы инфосек компаний PRODAFT (Швейцария) и INVICTUS (Турция), которые именуют себя PTI, поставили множество подконтрольных выходных Tor-узлов и нашли в трафике много интересного. Ресерчеры назвали эту операцию Blue Raven. В настоящее время PTI публикуют в нескольких частях статью о перехваченных материалах хакерской группы FIN 7. FIN 7 - это вообще сложная штука, одна из коммерческих APT. И, хотя ее активность наблюдается с 2013 года, исследователи до сих пор не пришли к единому мнению, что же это за образование. То ли это конгломерат нескольких хакерских групп, включающий в себя непосредственно FIN 7 (aka APT-C-11), Anunak (aka Carbanak) и EmpireMonkey (aka CobaltGoblin), то ли все это и есть одна крупная группа. С происхождением тоже было не все ясно - если западные эксперты склонялись к России, то отечественные специалисты утверждали, что это украинцы. И уже в 2019 году американцы арестовали четырех граждан Украины, являвшихся членами FIN 7. Да, у них был филиал в Москве и Хайфе. Нет, группа не умерла и продолжает активную деятельность. Биография у FIN 7 достаточно богатая, они атаковали банковский сектор, ретейл, общепит и пр. и пр. Подозревается, что хакерам удалось украсть почти 900 млн. долларов в ходе кампании 2013-2014 годов. В 2020 году FIN 7 успели прославиться уже изрядно позабытой атакой типа BadUSB, в ходе которой компаниям-жертвам рассылались подарочные накопители USB, имитировавшие после подключения USB-клавиатуру и загружавшие из сети вредонос через PowerShell. Вернемся к операции Blue Raven. Исследователи смогли перехватить несколько ранее не замеченных модулей для используемого хакерами вредоноса Carbanak, а также образцы нового бэкдора Tirion (хакеры фанаты Игры престолов или Warcraft?), который придет на смену Carbanak . Также ресерчеры нашли демонстрационное видео той самой атаки BadUSB и код используемых в ее процессе модулей. В том числе, обнаружили фрагмент кода для атаки на устройства под управлением macOS, о чем раньше известно не было. Исследователи получили статистику по жертвам хакеров за период с февраля по апрель 2020 года - 325 объектов в 16 странах, а также прелюбопытнейшие результаты проверки хакерами на обнаружение антивирусными продуктами своих вредоносных инструментов. Как из них видно, наиболее надежными оказались продукты от FireEye , ESET , Bitdefender и Касперских (да-да, за рекламу нам заплатили ЦРУ , Словацкая информационная служба , Сигуранца и Кремль). PTI обещают еще как минимум 4 статьи по результатам Blue Raven , в частности данные о связях FIN 7 и группы REvil , оператора ransomware Sodinokibi . Будем с интересом наблюдать.