Epic Turla — ловим рептилию за хвост

В течение последних 10 месяцев исследователи «Лаборатории Касперского» отслеживали и анализировали масштабную кампанию кибершпионажа, которую мы обозначили как Epic Turla. На данный момент инициировавшие ее злоумышленники заразили несколько сотен компьютеров

В течение последних 10 месяцев исследователи «Лаборатории Касперского» отслеживали и анализировали масштабную кампанию кибершпионажа, которую мы обозначили как Epic Turla. На данный момент инициировавшие ее злоумышленники заразили несколько сотен компьютеров в более чем 45 странах, в том числе машины в государственных организациях, посольствах, на военных базах, в образовательных учреждениях, научно-исследовательских и фармацевтических компаниях. Притом что военные и правительственные органы являются обычными мишенями кибершпионов, похоже, киберпреступники сейчас стали проявлять особый интерес к фармацевтической отрасли. Недавно выявленные кампании MiniDuke и Crouching Yeti/Energetic Bear также отслеживают игроков в этом секторе.

Но вернемся к Turla. О ней уже известно некоторое время, однако самым большим вопросом оставался вектор ее заражений. Теперь наш анализ указывает, что жертвы заражаются посредством сложной многоходовой атаки​​, которая начинается с Epic Turla. Со временем, как только злоумышленники обретают уверенность, кампания переходит к более сложным бэкдорам, таким как Carbon/Cobra. Иногда оба вида бэкдоров задействованы в связке и используются для «выручки» друг друга в случае, если нарушается связь с одним из бэкдоров.

После того как злоумышленники получают необходимые полномочия, а жертва этого даже не замечает, они устанавливают руткит и другие экстремальные механизмы постоянного действия. Другими словами, EpicTurla пришла надолго.

Атаки, как известно, используют, по меньшей мере, две уязвимости нулевого дня:

  • CVE-2013-5065 – уязвимость повышения привилегий в Windows XP и Windows Server 2003
  • CVE-2013-3346 – уязвимость исполнения произвольного кода в AdobeReader

Вот и еще одно доказательство, что а) Windows XP и Windows Server 2003 все еще активно используют; б) злоумышленники тоже очень любят эти ОС.

А еще присутствует одна уязвимость в Adobe Reader, не самая последняя, но все еще широко неисправленная, по-видимому, несмотря на крайнюю опасность, которую она представляет. Всякий раз, когда ничего не подозревающий пользователь открывает зловредный PDF-файл на уязвимой системе, машина автоматически заражается, что позволяет злоумышленнику получить немедленный и полный контроль над системой жертвы.

Для заражения жертв злоумышленники используют как прямые спиэрфишинговые электронные письма, так и атаку методом «водопоя». Нападения, выявленные в данной кампании, делятся на ряд категорий в зависимости от начального вектора инфекции, использованного для компрометации жертвы:

  • Спиэрфишинговые электронные письма с эксплойтами Adobe PDF
  • Социальная инженерия с целью обманом вынудить пользователя запустить вредоносные инсталляторы с расширением ».scr», иногда упакованные RAR
  • Атаки методом «водопоя» с использованием эксплойтов Java (CVE-2012-1723) Adobe Flash (неизвестны) или InternetExplorer 6, 7, 8 (неизвестны)
  • Атаки методом «водопоя» с упором на социальную инженерию, чтобы обманом вынудить пользователя запустить фиктивные вредоносные инсталляторы Flash Player

«Водопоями» (Waterhole) являются сайты, которые чаще всего просматриваются потенциальными жертвами. Эти веб-сайты компрометируются злоумышленниками заранее посредством инъекции вредоносного кода. В зависимости от IP-адреса посетителя (например, IP принадлежит правительственной организации), злоумышленники скармливают эксплойты Java или браузера, подписанные поддельным программным сертификатом Adobe Flash Player или фиктивной версии Microsoft Security Essentials. В общей сложности мы наблюдали более 100 накачанных таким образом сайтов. Выбор сайтов отражает специфический интерес нападавших. Например, многие из зараженных испанских сайтов принадлежат местным органам власти.

Как только пользователь заражен тем или иным образом, бэкдор Epic (также известный как WorldCupSec, TadjMakhal, Wipbot или Tadvig) немедленно подключается к командно-контрольному (C&C) серверу, чтобы отправить пакет с системной информацией жертвы. Исходя из этого, злоумышленники переправляют предварительно сконфигурированные командные файлы, содержащие последовательность команд для выполнения. В дополнение к ним нападавшие загружали побочные инструменты разработки. Они включают в себя особый кейлоггер, архиватор RAR и стандартные утилиты вроде инструмента DNS-запросов от Microsoft.

В ходе анализа исследователи «Лаборатории Касперского» наблюдали, как злоумышленники использовали вредонос Epic для развертывания более сложного бэкдора, известного как Cobra/Carbonsystem и проходящего также под именем Pfinet в некоторых антивирусных продуктах. Через некоторое время нападавшие шли дальше и использовали имплантированный Epic для обновления конфигурационного файла Carbonразличным набором серверов C&C. Уникальный навык оперирования этими двуми бэкдорами указывает на четкую и прямую связь между ними.

«Обновления конфигурации для вредоносной программы Carbonsystemинтересны, потому что это еще один проект от оператора Turla. Это означает, что мы имеем дело с многоступенчатым заражением, которое начинается с Epic Turla. EpicTurla используется для закрепления и оценки уровня профиля жертвы. Если жертва интересная, то получает апгрейд до полной системы Turla Carbon»,  — объясняет Костин Райю, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского».

Проект Epic действует, по крайней мере, с 2012 года, и проявил наибольшую активность в январе-феврале 2014 года. Совсем недавно «Лаборатория Касперского» обнаружила атаку на одного из своих клиентов. 5 августа 2014 года мишенями Epic, как было сказано выше, стали государственные структуры (министерство внутренних дел, министерство торговли и коммерции, министерство иностранных дел, разведслужбы), посольства, военные учреждения, научные и образовательные организации, а также фармацевтические компании.

Большинство жертв располагаются на Ближнем Востоке и в Европе, однако мы наблюдали цели в других регионах, в том числе в США. В общей сложности специалисты «Лаборатории Касперского» насчитали несколько сотен пораженных IP-адресов в более чем 45 странах мира с Францией во главе списка.

Обзор рисков ИТ-безопасности 2014: Никому пощады нет

До 94% компаний столкнулись с «внешней» угрозой безопасности за последние 12 месяцев, и несколько меньшему числу — 87% — пришлось иметь дело с внутренними проблемами безопасности. Это факты и цифры

Советы