Специалисты компании ESET предупреждают, что русскоязычная группировка Turla (она же Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton) компрометирует сайты в Армении, включая официальные политические ресурсы. Также было замечено, что группировка использует новые образцы вредоносного ПО.
![](https://xakep.ru/wp-content/uploads/2020/03/279125/Figure-4-741x1024.png)
Новая кампания была выявлена во время анализа атаки типа watering hole («водопой»). Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. То есть злоумышленники размещают малварь на каких-либо ресурсах, которые посещает намеченная жертва.
В качестве приманки злоумышленники использовали фальшивое обновление для Adobe Flash, и по меньшей мере четыре армянских сайта были взломаны, в том числе два принадлежащих правительству ресурса. То есть предполагаемыми целями хакеров являются правительственные чиновники и политики. Так, в числе пострадавших ресурсов были сайты Консульского отдела Посольства Армении в России, Министерства охраны природы и природных ресурсов Республики Арцах, Армянский институт международных отношений и безопасности и так далее. Причем, по мнению аналитиков, ресурсы были взломаны еще в начале 2019 года.
![](https://xakep.ru/wp-content/uploads/2020/03/279125/Figure-3-768x440.png)
Turla внедрила код этих сайтов JavaScript, загружавшийся с внешнего домена, который прекратил доставку скриптов еще в ноябре 2019 года (то есть кампания завершилась примерно в это время). Внешний домен выполнял тщательный фингерпринтинг, и только отдельные интересующие хакеров жертвы получали дополнительную полезную нагрузку в виде фейкового обновления для Adobe Flash. Судя по всему, именно по причине такой избирательности кампания и оставалась незамеченной так долго.