Специалисты компании ESET предупреждают, что русскоязычная группировка Turla (она же Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton) компрометирует сайты в Армении, включая официальные политические ресурсы. Также было замечено, что группировка использует новые образцы вредоносного ПО. Схема атаки Новая кампания была выявлена во время анализа атаки типа watering hole («водопой»). Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. То есть злоумышленники размещают малварь на каких-либо ресурсах, которые посещает намеченная жертва. В качестве приманки злоумышленники использовали фальшивое обновление для Adobe Flash, и по меньшей мере четыре армянских сайта были взломаны, в том числе два принадлежащих правительству ресурса. То есть предполагаемыми целями хакеров являются правительственные чиновники и политики. Так, в числе пострадавших ресурсов были сайты Консульского отдела Посольства Армении в России, Министерства охраны природы и природных ресурсов Республики Арцах, Армянский институт международных отношений и безопасности и так далее. Причем, по мнению аналитиков, ресурсы были взломаны еще в начале 2019 года. Фальшивое обновление Turla внедрила код этих сайтов jаvascript, загружавшийся с внешнего домена, который прекратил доставку скриптов еще в ноябре 2019 года (то есть кампания завершилась примерно в это время). Внешний домен выполнял тщательный фингерпринтинг, и только отдельные интересующие хакеров жертвы получали дополнительную полезную нагрузку в виде фейкового обновления для Adobe Flash. Судя по всему, именно по причине такой избирательности кампания и оставалась незамеченной так долго. Обфусцированный код jаvascript, внедренный в веб-сайт mnp.nkr_