В течение последних 10 месяцев исследователи «Лаборатории Касперского» отслеживали и анализировали масштабную кампанию кибершпионажа, которую мы обозначили как Epic Turla. На данный момент инициировавшие ее злоумышленники заразили несколько сотен компьютеров в более чем 45 странах, в том числе машины в государственных организациях, посольствах, на военных базах, в образовательных учреждениях, научно-исследовательских и фармацевтических компаниях. Притом что военные и правительственные органы являются обычными мишенями кибершпионов, похоже, киберпреступники сейчас стали проявлять особый интерес к фармацевтической отрасли. Недавно выявленные кампании MiniDuke и Crouching Yeti/Energetic Bear также отслеживают игроков в этом секторе.
Но вернемся к Turla. О ней уже известно некоторое время, однако самым большим вопросом оставался вектор ее заражений. Теперь наш анализ указывает, что жертвы заражаются посредством сложной многоходовой атаки, которая начинается с Epic Turla. Со временем, как только злоумышленники обретают уверенность, кампания переходит к более сложным бэкдорам, таким как Carbon/Cobra. Иногда оба вида бэкдоров задействованы в связке и используются для «выручки» друг друга в случае, если нарушается связь с одним из бэкдоров.
#Turla — сложная #APT-кампания, нашедшая своих жертв в 45 странах. #enterprisesec #protectmybiz
Tweet
После того как злоумышленники получают необходимые полномочия, а жертва этого даже не замечает, они устанавливают руткит и другие экстремальные механизмы постоянного действия. Другими словами, EpicTurla пришла надолго.
Атаки, как известно, используют, по меньшей мере, две уязвимости нулевого дня:
- CVE-2013-5065 – уязвимость повышения привилегий в Windows XP и Windows Server 2003
- CVE-2013-3346 – уязвимость исполнения произвольного кода в AdobeReader
Вот и еще одно доказательство, что а) Windows XP и Windows Server 2003 все еще активно используют; б) злоумышленники тоже очень любят эти ОС.
А еще присутствует одна уязвимость в Adobe Reader, не самая последняя, но все еще широко неисправленная, по-видимому, несмотря на крайнюю опасность, которую она представляет. Всякий раз, когда ничего не подозревающий пользователь открывает зловредный PDF-файл на уязвимой системе, машина автоматически заражается, что позволяет злоумышленнику получить немедленный и полный контроль над системой жертвы.
Для заражения жертв злоумышленники используют как прямые спиэрфишинговые электронные письма, так и атаку методом «водопоя». Нападения, выявленные в данной кампании, делятся на ряд категорий в зависимости от начального вектора инфекции, использованного для компрометации жертвы:
- Спиэрфишинговые электронные письма с эксплойтами Adobe PDF
- Социальная инженерия с целью обманом вынудить пользователя запустить вредоносные инсталляторы с расширением ».scr», иногда упакованные RAR
- Атаки методом «водопоя» с использованием эксплойтов Java (CVE-2012-1723) Adobe Flash (неизвестны) или InternetExplorer 6, 7, 8 (неизвестны)
- Атаки методом «водопоя» с упором на социальную инженерию, чтобы обманом вынудить пользователя запустить фиктивные вредоносные инсталляторы Flash Player
«Водопоями» (Waterhole) являются сайты, которые чаще всего просматриваются потенциальными жертвами. Эти веб-сайты компрометируются злоумышленниками заранее посредством инъекции вредоносного кода. В зависимости от IP-адреса посетителя (например, IP принадлежит правительственной организации), злоумышленники скармливают эксплойты Java или браузера, подписанные поддельным программным сертификатом Adobe Flash Player или фиктивной версии Microsoft Security Essentials. В общей сложности мы наблюдали более 100 накачанных таким образом сайтов. Выбор сайтов отражает специфический интерес нападавших. Например, многие из зараженных испанских сайтов принадлежат местным органам власти.
#AdobeReader требует особого #security обращения. #enterprisesec #protectmybiz
Tweet
Как только пользователь заражен тем или иным образом, бэкдор Epic (также известный как WorldCupSec, TadjMakhal, Wipbot или Tadvig) немедленно подключается к командно-контрольному (C&C) серверу, чтобы отправить пакет с системной информацией жертвы. Исходя из этого, злоумышленники переправляют предварительно сконфигурированные командные файлы, содержащие последовательность команд для выполнения. В дополнение к ним нападавшие загружали побочные инструменты разработки. Они включают в себя особый кейлоггер, архиватор RAR и стандартные утилиты вроде инструмента DNS-запросов от Microsoft.
В ходе анализа исследователи «Лаборатории Касперского» наблюдали, как злоумышленники использовали вредонос Epic для развертывания более сложного бэкдора, известного как Cobra/Carbonsystem и проходящего также под именем Pfinet в некоторых антивирусных продуктах. Через некоторое время нападавшие шли дальше и использовали имплантированный Epic для обновления конфигурационного файла Carbonразличным набором серверов C&C. Уникальный навык оперирования этими двуми бэкдорами указывает на четкую и прямую связь между ними.
«Обновления конфигурации для вредоносной программы Carbonsystemинтересны, потому что это еще один проект от оператора Turla. Это означает, что мы имеем дело с многоступенчатым заражением, которое начинается с Epic Turla. EpicTurla используется для закрепления и оценки уровня профиля жертвы. Если жертва интересная, то получает апгрейд до полной системы Turla Carbon», — объясняет Костин Райю, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского».
Проект Epic действует, по крайней мере, с 2012 года, и проявил наибольшую активность в январе-феврале 2014 года. Совсем недавно «Лаборатория Касперского» обнаружила атаку на одного из своих клиентов. 5 августа 2014 года мишенями Epic, как было сказано выше, стали государственные структуры (министерство внутренних дел, министерство торговли и коммерции, министерство иностранных дел, разведслужбы), посольства, военные учреждения, научные и образовательные организации, а также фармацевтические компании.
Большинство жертв располагаются на Ближнем Востоке и в Европе, однако мы наблюдали цели в других регионах, в том числе в США. В общей сложности специалисты «Лаборатории Касперского» насчитали несколько сотен пораженных IP-адресов в более чем 45 странах мира с Францией во главе списка.