Тип вируса: Сложная постоянная угроза (Advanced Persistent Threat, APT)
Turla, также известная как Snake или Uroburos, является одной из самых сложных существующих кампаний по кибершпионажу. Последние исследования «Лаборатории Касперского» показывают, что Epic - это первый этап многоэтапной атаки Turla.
Мишенями Epic являются государственные учреждения (Министерство внутренних дел, Министерство торговли, Министерство иностранных дел, спецслужбы), посольства, военные, научно-исследовательские и образовательные организации и фармацевтические компании.
Большинство жертв находятся на Ближнем Востоке и в Европе. Однако мы наблюдаем попытки заражения и в других регионах, в том числе в США. Эксперты «Лаборатории Касперского» подсчитали, что в общей сложности злоумышленникам удалось заразить несколько сотен компьютеров в более чем 45 странах мира. Возглавляет список Франция.
Атаки, проводимые в рамках данной кампании, можно разделить на несколько групп в зависимости от вектора первичного заражения компьютера:
Для заражения жертв киберпреступники применяют как адресные фишинговые рассылки (spearphishing), так и атаки типа watering hole. Watering hole, или waterhole (буквально – водопой), – это популярный среди атакуемых сайт, который взломан злоумышленниками и используется ими для раздачи вредоносного кода. В зависимости от IP-адреса посетителя сайта (например, IP-адрес правительственной организации) злоумышленники используют Java-эксплойты или эксплойты для браузера, фальшивый экземпляр Adobe Flash Player или фейковую версию Microsoft Security Essentials.
В общей сложности нам известно о более 100 зараженных сайтов. Выбор сайтов не является случайным и дает определенное представление об интересах злоумышленников. Например, многие из зараженных сайтов на территории Испании принадлежат муниципальным властям (мэриям).
Как только происходит заражение, бэкдор Epic немедленно связывается с командным сервером (C&C) и отправляют на него информацию о системе жертвы. Бэкдор также известен как “WorldCupSec”, “TadjMakhal”, “Wipbot” или “Tadvig”.
После заражения компьютера злоумышленники получают краткую информацию о зараженной системе, и на ее основании доставляют предварительно сконфигурированные пакеты команд для выполнения. Кроме того, злоумышленники загружают на зараженное устройство несколько инструментов, применяемых для дальнейшего распространения по сети. К ним относятся клавиатурный шпион, архиватор RAR и стандартные утилиты, такие как инструмент для формирования DNS-запросов, созданный Microsoft.
Лучший способ определить, стали ли вы жертвой Epic Turla, - это выяснить, имело ли место вторжение. Идентификация угрозы может быть выполнена с помощью надежного антивирусного продукта, такого как защитные решения «Лаборатории Касперского».
Продукты «Лаборатории Касперского» детектируют следующие модули Epic Turla:
Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h
Защитное решение должно быть включено всегда, и все его компоненты должны быть активными. Базы данных защитного решения должны быть обновлены