Согласно швейцарскому отчету, в ходе кампании применялись вредоносное ПО из семейства Turla, а также ряд троянов и руткитов. Считается, что хакерские программы присутствовали в системах Ruag по крайней мере с 2014 года, в рамках масштабной кампании по кибершпионажу Epic Turla.
Данные атаки можно разделить на несколько групп: целевые рассылки фишинговых писем с PDF-эксплоитами; атаки типа watering hole с применением эксплоитов для уязвимостей в Java, Adobe Flash, Internet Explorer; атаки с применением приемов социальной инженерии.
Проникнув в компьютерную сеть Ruag, атакующие повышали свои привилегии на системах и пытались инфицировать устройства в сети. Основной целью злоумышленников была служба каталогов Microsoft Active Directory, которая позволяет взять под контроль другие устройства и получить доступ к необходимым данным. Затем полученная информация передавалась на C&C-серверы, которые, в свою очередь, отправляли новые инструкции на инфицированные устройства.
Чтобы скрыть свои следы, злоумышленники создавали внутри зараженной системы сложную сеть каналов взаимодействия, обеспечивающую связь между инфицированными компьютерами.
Авторы отчета умышленно не пытались определить, кто стоит за данными атаками. «Прежде всего, невозможно собрать достаточно улик, подтверждающих подобные обвинения. Во-вторых, нам кажется, что это не имеет значения, поскольку (к сожалению) значительное количество преступников используют вредоносное ПО и несанкционированное проникновение в сеть для достижения своих целей», - пояснили исследователи.
