Tech

A legdurvább kiberkémkedési kampány

Kormányzati szervezetek, katonai intézmények és nagykövetségek a célkeresztben.

A Turla, más néven Snake vagy Uroburos az egyik legfejlettebb jelenleg is folyó kiberkémkedési kampány. Amikor az első kutatási eredményeket publikálták róla, még nem volt világos, hogy az áldozatok miképpen fertőződnek meg, a legújabb kutatások azonban rávilágítanak arra, hogy az Epic az első fázisa a Turla áldozatokat megfertőző mechanizmusának.

Az Epic projekt legalább 2012 óta fut, legnagyobb aktivitása 2014 januárjában-februárjában volt megfigyelhető – a Kaspersky Lab legutóbb 2014. augusztus 5-én észlelte egyik felhasználójának megtámadását. Az Epic célpontjai a következő kategóriákba sorolhatók: kormányzati szervezetek (belügyminisztériumok, gazdasági és kereskedelmi minisztériumok, külügyminisztériumok, hírszerző hivatalok), nagykövetségek, katonaság, kutatási és oktatási intézmények, valamint gyógyszeripari vállalatok. A legtöbb áldozat a Közel-Keleten és Európában található, de a kutatók számos célpontot azonosítottak más régiókban is, többek között az Egyesült Államokban – a szakértők több száz áldozat IP címét találták meg több mint 45 országban, a listavezető Franciaország.

Az Epic Turla üzemeltetői nulladik napi sérülékenységek kihasználásával, pszichológiai manipulációval és úgynevezett watering hole technikákkal – vagyis az áldozatokat érdeklő weboldalak feltörésével és azokon rosszindulatú kód elhelyezésével – fertőzték meg áldozataikat. Összesen több mint 100 feltört webhelyet (watering hole-t) találtak a vállalat szakértői, és például a fertőzött spanyolországi webhelyek közül sok tartozott a helyi kormányhoz.

Valahányszor egy gyanútlan felhasználó megnyit egy rosszindulatúan módosított PDF fájlt egy sebezhető rendszeren, a számítógép automatikusan megfertőződik, lehetővé téve a támadó számára, hogy azonnali és teljes ellenőrzést szerezzen a célba vett rendszer felett. Miután a felhasználó megfertőződött, az Epic backdoor (hátsó ajtó) azonnal kapcsolatba lép a parancs és vezérlő (C&C) szerverrel, és elküld egy csomagot az áldozat gépére vonatkozó rendszerinformációkkal. Ennek alapján a támadók egy előre konfigurált parancsfájlt küldenek vissza, amely végrehajtandó utasításokat tartalmaz. Emellett a támadók feltöltenek oldalirányú mozgást megvalósító eszközöket is: ezek között megtalálható egy speciális billentyűzetleütés-rögzítő eszköz, egy RAR archiváló és olyan szokványos segédprogramok, mint a Microsoft-féle DNS lekérdező eszköz.

A támadók az Epic malware-t egy fejlettebb backdoor telepítésére is használják, amely “Cobra/Carbon rendszer”, illetve egyes antivírus termékek által “Pfinet néven” ismert. Egy idő után az Epic implantátum segítségével frissítették a Carbon konfigurációs fájlját más C&C szerverekhez. A két backdoor működtetéséhez szükséges egyedi ismeretek a közöttük lévő világos és közvetlen kapcsolatra utalnak. A Turla mögött álló támadók egyértelműen nem angol anyanyelvűek és vannak jelek arra vonatkozólag, hogy honnan származhatnak. Így például a backdoor programok egy részét orosz nyelvű rendszeren kompilálták. Ráadásul az egyik Epic backdoor belső elnevezése “Zagruzchik.dll”, ami oroszul “rendszerbetöltő programot” jelent. Végül az Epic vezérlőpaneljét az 1251-es nyelvi kódlapra állították be, amely a cirill karakterek megjelenítésére használatos.

Ajánlott videó

Olvasói sztorik