17.05.2026
1 хв
205
російське хакерське угруповання Turla модернізувало бекдор Kazuar, перетворивши його на модульний peer-to-peer ботнет із новими механізмами приховування та стійкості. Дослідники попереджають, що оновлене шкідливе ПЗ стало значно складніше відстежувати та блокувати.
російська хакерська група Secret Blizzard, яку пов’язують із ФСБ, суттєво модернізувала свій бекдор Kazuar, перетворивши його на модульний peer-to-peer ботнет для тривалого прихованого шпигунства та збору даних.
Дослідники Microsoft заявляють, що нова версія Kazuar отримала складну архітектуру з кількох модулів, які дозволяють шкідливому ПЗ працювати значно тихіше та залишатися непоміченим у заражених мережах.
Групу Secret Blizzard також пов’язують із Turla, Uroburos і Venomous Bear. Вважається, що хакери працюють в інтересах російської ФСБ та роками атакують урядові структури, дипломатичні установи, оборонний сектор і критичну інфраструктуру в Європі, Азії та Україні.
Сам бекдор Kazuar відомий ще з 2017 року, хоча дослідники виявили, що окремі частини його коду можуть походити ще з 2005-го. За останні роки його неодноразово помічали у шпигунських кампаніях проти європейських урядів та українських організацій. Microsoft проаналізувала новий варіант шкідливого ПЗ і з’ясувала, що тепер Kazuar складається з трьох окремих компонентів: Core, Bridge та Worker.
Core-модуль виступає центральним координатором усієї ботмережі. Він керує іншими компонентами, розподіляє завдання, організовує передачу даних та обирає так званого “лідера” серед заражених систем.
Лідером стає один зі скомпрометованих пристроїв у мережі, який напряму взаємодіє з командним сервером хакерів. Інші заражені системи переходять у “тихий” режим і не контактують із зовнішньою інфраструктурою безпосередньо, що значно ускладнює виявлення активності.
«Лідер ядра – це обраний модуль ядра, який взаємодіє з модулем Bridge від імені інших модулів ядра, зменшуючи видимість, уникаючи великих обсягів зовнішнього трафіку від кількох заражених хостів», – пояснюють у Microsoft.
Вибір лідера відбувається автоматично. Для цього враховується час безперервної роботи системи, кількість перезавантажень та інші параметри стабільності.
Bridge-модуль використовується як комунікаційний проксі. Саме через нього проходить трафік між зараженою мережею та командними серверами. Для передачі даних можуть використовуватися HTTP, WebSockets або Exchange Web Services.
Внутрішня комунікація між компонентами базується на механізмах IPC, включно з Windows Messaging, mailslots та named pipes. Передача даних шифрується через AES, а повідомлення серіалізуються за допомогою Google Protocol Buffers.
Worker-модуль відповідає безпосередньо за шпигунську діяльність. Він може:
записувати натискання клавіш
робити скріншоти
збирати файли
проводити мережеву та системну розвідку
викрадати дані Outlook і MAPI
стежити за активними вікнами
збирати інформацію про нещодавно відкриті файли
Усі викрадені дані шифруються, тимчасово зберігаються локально та передаються через Bridge-компонент.
За словами Microsoft, новий Kazuar став значно гнучкішим і тепер підтримує понад 150 параметрів конфігурації. Оператори можуть окремо вмикати або вимикати механізми обходу захисту, керувати графіками збору даних, налаштовувати розмір фрагментів ексфільтрації, запускати ін’єкції процесів та дистанційно виконувати команди.
Шкідливе ПЗ також отримало механізми обходу AMSI, ETW та Windows Lockdown Policy, що допомагає уникати детектування антивірусами та системами моніторингу.
У Microsoft наголошують, що Secret Blizzard орієнтується насамперед на довготривале шпигунство. Основними цілями групи залишаються документи, листування та інші дані, які можуть мати політичну або стратегічну цінність.
Компанія рекомендує організаціям робити акцент саме на поведінковому виявленні загроз, оскільки модульна структура та висока конфігурованість Kazuar роблять його особливо складним для класичних сигнатурних систем захисту.
