Спутниковая Turla: жива и прячется в небесах

Правоохранительные органы, при поддержке ведущих поставщиков защитных IT-решений, стремятся заблокировать командные серверы любых зловредов, которые удаётся обнаружить. Иногда удаётся ликвидировать целые массивные ботнеты, просто выведя из строя их управляющую инфраструктуру. Однако

Правоохранительные органы, при поддержке ведущих поставщиков защитных IT-решений, стремятся заблокировать командные серверы любых зловредов, которые удаётся обнаружить. Иногда удаётся ликвидировать целые массивные ботнеты, просто выведя из строя их управляющую инфраструктуру. Однако одна из самых продвинутых APT-группировок в мире по-прежнему активна.

Среди причин успеха Turla, помимо очевидного профессионализма группировки, — умение маскироваться, и в том числе — скрывать свои командные сервера. Исследование, проведённое экспертами «Лаборатории Касперского», показало, что русскоговорящая группировка Turla использует перехват спутниковых каналов доступа, причём активно использует этот метод с 2007 года.

infographics

Хакеры эксплуатируют уязвимость в асинхронных спутниковых интернет-соединениях для «прослушки» трафика, чтобы определить, какие пользователи (точнее, IP-адреса) в настоящее время онлайн. Всё, им что нужно, это настроить такой же IP на своих серверах и сконфигурировать свои зловреды таким образом, чтобы они посылали данные на эти адреса — после успешного заражения.

Что происходит дальше: спутник рассылает запрос с заражённой машины по всей зоне своего охвата. Естественно, запрос получают и хакеры, и законопослушные подписчики сервиса. Однако, в отличие от серверов злоумышленников, в системах обычных пользователей вряд ли будут развёрнуты конкретные сервисы, «слушающие» трафик на определённых портах — этот трафик будет просто сбрасываться без ответа, в противном случае, возрастает нагрузка на и без того узкие восходящие каналы связи, используемые в асинхронных соединениях. После получения вызова от зловреда, С&C-серверы отправляют по обычным наземным коммуникациям ответ, якобы исходящий от заражённого компьютера жертвы — абонента спутникового соединения.

Этот трюк в арсенале Turla далеко не единственный. Существуют и другие механизмы, о которых потенциальным жертвам стоит подумать в первую очередь. Для первичного проникновения злоумышленники используют сразу несколько разных методов, включая сфокусированные атаки класса watering hole (заражаются только те жертвы, в чьих IP заинтересованы хакеры) и эксплуатацию ряда уязвимостей в системах посетителей. Стоит отметить, что эксплуатации подвергаются и хорошо известные уязвимости, и уязвимости нулевого дня. Это очередное доказательство тому, что необходимо использовать автоматизированную систему обнаружения уязвимостей и управления обновлениями. «Лаборатория Касперского»1 предлагает такую систему. Не менее полезна система Automatic Exploit Prevention2 — ещё один уровень защиты, предлагаемый в пакете Kaspersky Endpoint Security для бизнеса: AEP позволяет блокировать эксплойты, предотвращая развитие атаки на самом раннем этапе.

Среди прочих известных сценариев, которыми пользуются операторы Turla: спиэр-фишинговые письма с вложенными эксплойтами для Adobe PDF и даже фальшивыми Flash-плеером или инсталлятором Microsoft Security Essentials, которые предлагается запустить; весьма убедительный социальный инжинеринг.

Turla, к сожалению, лишь одна из ныне действующих высокопрофессиональных кибершпионских кампаний. Все они используют по несколько методов атаки, что означает, что в многоуровневой защите имеется поистине критическая необходимость. Это не только надёжная защита конечных точек — рабочих станций и т.д. (здесь должны быть развёрнуты уровни проактивной защиты, такие как механизмы поведенческой идентификации или контроль приложений), но и обеспечение безопасности других элементов IT-инфраструктуры. Защита электронной почты тут особенно важна в силу активного использования злоумышленниками спиэр-фишинга.

В дополнение к вышеупомянутым продуктам и технологиям, Интеллектуальные Сервисы Лаборатории Касперского заслуживают особого  внимания. Служба предоставления информационных потоков (Data Feeds) обеспечивает системы менеджмента инцидентов (SIEM) и системы ИТ-безопасности данными о «водопоях» (‘watering holes’) и командных серверах, что, применительно к особенностям Turla, может быть особенно полезно. А поскольку фактор человеческой ошибки  давно известен как самая опасная уязвимость, очевидна полезность различных уровней Тренингов по Кибербезопасности Лаборатории Касперского — для обычных сотрудников и ИТ-специалистов

Бизнесу не стоит обольщаться — хотя большая часть атак Turla направлена на правительственные, военные, исследовательские и фармацевтические организации, любое крупное предприятие может стать жертвой атаки. Бизнес-контакты с любыми структурами, представляющими интерес для Turla, может сделать вашу инфраструктуру, в глазах её операторов, своего рода трамплином для атак на более «интересные» цели. Таким образом вам необходима всесторонняя  стратегия кибербезопасности — и если вы заинтересованы в её разработке, то портфолио продуктов «Лаборатории Касперского» вам может сильно в этом помочь.

Компоненты Turla обнаруживаются решениями «Лаборатории Касперского» со следующими вердиктами:

Backdoor.Win32.Turla.cd

Backdoor.Win32.Turla.ce

Backdoor.Win32.Turla.cl

Backdoor.Win32.Turla.ch

Backdoor.Win32.Turla.cj

Backdoor.Win32.Turla.ck

Trojan.Win32.Agent.dne

[1] Функции автоматического обнаружения уязвимостей и управление патчами входят Kaspersky Total Security для бизнеса, Kaspersky Endpoint Security для бизнеса Расширенный and Kaspersky Systems Management.

[2] Технология Automatic Exploit Prevention входит во все версии Kaspersky Endpoint Security для бизнеса и в Kaspersky Security для виртуальных сред — Лёгкий агент

Банковские трояны: главная мобильная киберугроза

Современный смартфон — это полноценный компьютер помощнее того, что стоял у нас на столе каких-нибудь 10 лет назад. И он почти наверняка содержит данные, ценные для злоумышленников, например, банковские.

Советы