APT
Специалисты «Лаборатории Касперского» открыли новую нацеленную на Linux вредоносную программу, относящуюся к печально известной APT Turla.
Epic Turla (она же Uroburos, Snake и т.д.) считается одной из самых сложных APT в мире. Её анализ был опубликован ранее в этом году (подробности читайте на Securelist и в блоге Kaspersky Business), а недавно обнаруженная вредоносная программа, по-видимому, является «ранее неизвестным кусочком большой мозаики», как утверждают Курт Баумгартнер и Костин Райю.
Все ранее известные «компоненты» были нацелены на семейство операционных систем Microsoft Windows, как 32-, так и 64-разрядных, использовали уязвимости нулевого дня в продуктах Microsoft и Adobe и соответствующие бэкдоры. Существование компонента для Linux предполагалось, хотя он и не попадался. До поры.
Пингвинов не бросаем: обнаружен #Linux-компонент #APT #EpicTurla
Tweet
Нападения, совершенные в ходе кампании Epic Turla очень сложны. Имели место многоступенчатые заражения с рядом бэкдоров, кейлоггеров, руткитов и других вредоносных инструментов, последовательно развёрнутых во взломанных системах.
Click the thumbnail to open the full image.
Самым интересным был начальный вектор. Epic Turla использует сравнительно «приземлённые» методы. Сценарий атаки на конкретный бизнес выглядел бы следующим образом. Во-первых, рассылается спиэрфишинговое сообщение электронной почты, сработанное достаточно добротно, чтобы его открыли и активировали вредоносную составляющую. Электронное письмо отправляется нужному человеку (предварительно определённому злоумышленниками), оно несёт чёткую отраслевую и ситуативную принадлежность наряду с соответствующими заголовками, как и прилагаемый документ, а поддельный источник выглядит заслуживающим доверия.
Затем проводятся атаки по типу водопоя, и задействуется социальная инженерия для того, чтобы заманить жертву на скомпрометированный веб-сайт. Излишне говорить, что компрометация сайтов – это отдельного рода деятельность, которая требует некоторых усилий. Это лишь показывает, насколько тщательно выстроена кампания Epic Turla.
Злоумышленники, как правило, динамично применяют эксплойты и различные методы в зависимости от того, что доступно в данный момент. Сегодня они могут опробовать на вас спиэрфишинг, а на следующий день вам предложат скачать поддельный Flash Player, и т.д.
Как только им удаётся проникновение, скомпрометированной системе скармливают бэкдор, а за ним — кейлоггер. Как только злоумышленники поймут, что мишень действительно попалась интересная, в ход идут более продвинутые и сложные бэкдоры семейства Carbon/Cobra — опять же их устанавливают в несколько этапов (подробное описание см. здесь).
А теперь очередь компонента Linux — так называемого «Penquin» Turla. К чему он, если Epic Turla, по большому счёту, нацелена на Windows?
Наиболее вероятные ответы — наиболее очевидны. Во-первых, Linux широко используется в серверах. А захват сервера означает получение почти идеального плацдарма для перехвата данных, которые могут представлять интерес.
Вдобавок, конечные точки на Linux распространены в государственных организациях по всему миру как в развивающихся, так и в развитых странах, а правительственные организации являются приоритетными мишенями для Epic Turla.
Windows, Linux … Сколько ещё систем атакует #EpicTurla?
Tweet
Перейдём к неприятной части. Согласно Securelist, «Penguin» Turla является скрытным бэкдором, не требующим «повышенных привилегий», т.е. каких-либо прав администратора или суперпользователя. Даже если его запускает пользователь с ограниченным доступом к системе, бэкдор может перехватывать входящие пакеты и выполнять в системе команды атакующих, ничем себя не выдавая. Подобное тоже довольно сложно выявить, так что если такое просочится в серверы, оно может бесконечно оставаться незамеченным: всё зависит от того, когда операторы скомпрометированной системы решат проверить машину на более необычные угрозы.
Вопрос теперь в том, сколько еще вариантов вредоносной Epic Turla не раскрыты. На что они могут быть нацелены, и что могут сделать потенциальные жертвы, чтобы уберечься?
Есть технические средства, способные защитить инфраструктуру от перечисленных выше атак «начального вектора», а именно от фишинга и тех, что по типу водопоя, но ещё чрезвычайно важно, чтобы сотрудники знали об этих угрозах и о том, как им противостоять.
Подробнее о кампании Epic Turla:
Советы