Пингвинов не бросаем: обнаружен Linux-компонент APT Epic Turla

Бизнес

Специалисты «Лаборатории Касперского» открыли новую нацеленную на Linux вредоносную программу, относящуюся к печально известной APT Turla.

Epic Turla (она же Uroburos, Snake и т.д.) считается одной из самых сложных APT в мире. Её анализ был опубликован ранее в этом году (подробности читайте на Securelist и в блоге Kaspersky Business), а недавно обнаруженная вредоносная программа, по-видимому, является «ранее неизвестным кусочком большой мозаики», как утверждают Курт Баумгартнер и Костин Райю.

Все ранее известные «компоненты» были нацелены на семейство операционных систем Microsoft Windows, как 32-, так и 64-разрядных, использовали уязвимости нулевого дня в продуктах Microsoft и Adobe и соответствующие бэкдоры. Существование компонента для Linux предполагалось, хотя он и не попадался. До поры.

Нападения, совершенные в ходе кампании Epic Turla очень сложны. Имели место многоступенчатые заражения с рядом бэкдоров, кейлоггеров, руткитов и других вредоносных инструментов, последовательно развёрнутых во взломанных системах.

Epic-Turla

Click the thumbnail to open the full image.

Самым интересным был начальный вектор. Epic Turla использует сравнительно «приземлённые» методы. Сценарий атаки на конкретный бизнес выглядел бы следующим образом. Во-первых, рассылается спиэрфишинговое сообщение электронной почты, сработанное достаточно добротно, чтобы его открыли и активировали вредоносную составляющую. Электронное письмо отправляется нужному человеку (предварительно определённому злоумышленниками), оно несёт чёткую отраслевую и ситуативную принадлежность наряду с соответствующими заголовками, как и прилагаемый документ, а поддельный источник выглядит заслуживающим доверия.

Затем проводятся атаки по типу водопоя, и задействуется социальная инженерия для того, чтобы заманить жертву на скомпрометированный веб-сайт. Излишне говорить, что компрометация сайтов – это отдельного рода деятельность, которая требует некоторых усилий. Это лишь показывает, насколько тщательно выстроена кампания Epic Turla.

Злоумышленники, как правило, динамично применяют эксплойты и различные методы в зависимости от того, что доступно в данный момент. Сегодня они могут опробовать на вас спиэрфишинг, а на следующий день вам предложат скачать поддельный Flash Player, и т.д.

Как только им удаётся проникновение, скомпрометированной системе скармливают бэкдор, а за ним — кейлоггер. Как только злоумышленники поймут, что мишень действительно попалась интересная, в ход идут более продвинутые и сложные бэкдоры семейства Carbon/Cobra — опять же их устанавливают в несколько этапов (подробное описание см. здесь).

А теперь очередь компонента Linux — так называемого «Penquin» Turla. К чему он, если Epic Turla, по большому счёту, нацелена на Windows?

Наиболее вероятные ответы — наиболее очевидны. Во-первых, Linux широко используется в серверах. А захват сервера означает получение почти идеального плацдарма для перехвата данных, которые могут представлять интерес.

Вдобавок, конечные точки на Linux распространены в государственных организациях по всему миру как в развивающихся, так и в развитых странах, а правительственные организации являются приоритетными мишенями для Epic Turla.

Перейдём к неприятной части. Согласно Securelist, «Penguin» Turla является скрытным бэкдором, не требующим «повышенных привилегий», т.е. каких-либо прав администратора или суперпользователя. Даже если его запускает пользователь с ограниченным доступом к системе, бэкдор может перехватывать входящие пакеты и выполнять в системе команды атакующих, ничем себя не выдавая. Подобное тоже довольно сложно выявить, так что если такое просочится в серверы, оно может бесконечно оставаться незамеченным: всё зависит от того, когда операторы скомпрометированной системы решат проверить машину на более необычные угрозы.

Вопрос теперь в том, сколько еще вариантов вредоносной Epic Turla не раскрыты. На что они могут быть нацелены, и что могут сделать потенциальные жертвы, чтобы уберечься?

Есть технические средства, способные защитить инфраструктуру от перечисленных выше  атак «начального вектора», а именно от фишинга и тех, что по типу водопоя, но ещё чрезвычайно важно, чтобы сотрудники знали об этих угрозах и о том, как им противостоять.

wide

Подробнее о кампании Epic Turla:

Операция Epic Turla

«Penguin» Turla: Linux-вредонос Turla/Snake/Uroburos

Epic Turla – ловим рептилию за хвост