În timp ce investigau gruparea de spionaj cibernetic Turla, cercetătorii Kaspersky Lab au descoperit modalitatea prin care acesta reușește să evite depistarea activității sale și localizarea geografică. Pentru a-și păstra anonimatul, gruparea folosește slăbiciunile din securitatea rețelelor de satelit globale.

Turla este o grupare de spionaj cibernetic sofisticată, formată din vorbitori de limba rusă, care activează de mai bine de 8 ani. Atacatorii care se ascund în spatele grupării Turla au infectat sute de calculatoare din peste 45 de țări, inclusiv Kazakhstan, Rusia, China, Vietnam și Statele Unite ale Americii. Printre tipurile de organizații care au fost infectate se numără: instituții guvernamentale și ambasade, precum și organizații din domeniul militar, al educației și cercetării și companii farmaceutice. În stadiul inițial al atacului, backdoor-ul Epic verifică profilul victimelor. Doar în cazul țintelor cu o miză foarte mare, atacatorii folosesc un mecanism de comunicare complex prin satelit, într-un stadiu al atacului mai avansat, fapt care îi ajută să-și ascundă urmele.

Comunicațiile prin satelit sunt, cel mai adesea, cunoscute drept un instrument de comunicare sigur pentru transmisia TV; cu toate acestea, sunt folosite și pentru a oferi acces la internet. Astfel de servicii sunt frecvent folosite în zine îndepărtate, unde toate celelalte modalități de acces la internet sunt fie instabile, fie au o conexiune lentă sau sunt indisponibile. Una dintre cele mai răspândite și necostisitoare tipuri de conexiune la internet prin satelit este asa-numita conexiune de tip downstream-only.

În acest caz, cererile de ieșire din PC-ul unui utilizator sunt comunicate prin linii convenționale (conexiune prin fir sau GPRS), traficul de intrare provenind prin satelit. Această tehnologie permite utilizatorului să obțină o viteză de descărcare relativ rapidă. Cu toate acestea, există un mare dezavantaj: întregul trafic descărcat se întoarce către computer necriptat. Orice utilizator obișnuit, cu softul și echipamentul potrivit ar putea intercepta, cu usurință, traficul și obține acces la toate informațiile pe care utilizatorii acestor legături le descarcă.

Gruparea Turla  profită de această slăbiciune într-un mod diferit, folosind-o pentru a-și ascunde locul unde se află serverele de comandă și control, una dintre cele mai importante părți ale infrastructurii malware. Serverul de comandă și control reprezintă, în esență, o “bază” pentru folosirea malware-ului asupra dispozitivelor vizate. Localizarea unui astfel de server poate conduce cercetărorii către descoperirea unor detalii despre actorul aflat în spatele acestei operațiuni. În continuare, sunt detaliate o serie de acțiuni prin care gruparea Turla evită astfel de riscuri:

Gruparea “ascultă”, mai întâi, traficul descărcat prin satelit, pentru a identifica adresele IP active ale utilizatorilor de internet prin satelit, care sunt conectate în acel moment.

Atacatorii aleg apoi o adresă IP online pentru a fi folosită în mascarea serverul de comandă și control, fără ca utilizatorul legitim să observe acest lucru.

Calculatoarele infectate de Turla sunt apoi programate să trimită informații către IP-urile selectate ale utilizatorilor obișnuiți de internet prin satelit. Informația călătorește prin linii convenționale către teleporturile furnizorilor de internet prin satelit, apoi mai departe către satelit și, în final, din satelit către utilizatorii cu IP-urile selectate.

Interesant este că utilizatorii a căror adresă IP a fost folosită de atacatori pentru a primi informații dintr-un calculator infectat, vor primi, de asemenea, aceste pachete de informații care sunt, însă, greu de observat. Acest lucru se întâmplă din cauza faptului că, atacatorii Turla setează calculatoarele infectate să trimită informația către porturi care, în majoritatea cazurilor, sunt închise în mod implicit. Prin urmare, computerul utilizatorului va livra doar aceste pachete, în timp ce serverul de comandă și control al grupării Turla, ce ține aceste porturi deschise, va primi și procesa informațiile transmise.

Un alt aspect interesant privind tacticile actorului Turla este că acesta tinde să folosească furnizorii de servicii de internet prin satelit situați în Orientul Mijlociu și țări din Africa. În timpul analizei, experții Kaspersky Lab au identificat faptul că gruparea Turla folosește IP-urile unor furnizori aflați în țări precum Congo, Liban, Libia, Niger, Nigeria, Somalia și Emiratele Arabe Unite.

Semnalele prin satelit folosite de către operatorii acestor țări nu acoperă, de obicei, teritorii din Europa și America de Nord, ceea ce, investigarea unor astfel de atacuri mult mai dificilă pentru cercetătorii în securitate din țările aflate în afara continentului.

“În trecut, am mai văzut cel puțin trei actori diferiți care foloseau linkuri de internet prin satelit pentru a-și masca operațiunile. Dintre aceștia, soluția dezvoltată de gruparea Turla este cea mai interesantă și neobișnuită.”, a explicat Ștefan Tănase, Senior Security Researcher în cadrul Kaspersky Lab.  “Sunt capabili să atingă cel mai înalt nivel al anonimatului exploatând o tehnologie utilizată la scară largă – internetul prin satelit de tip one-way broadband. Atacatorii pot fi oriunde pe raza satelitului ales, o suprafață care poate depăși mii de km². “Acest lucru face aproape imposibilă localizarea atacatorului. Pe măsură ce folosirea acestor metode devine din ce în ce mai cunoscută, este important ca administratorii de sistem să folosească strategii de apărare pentru preîntâmpinarea unor astfel de atacuri.”, a explicat Ștefan Tănase.

Experții Kaspersky Lab au descoperit un atac cibernetic rar și neobișnuit, în care un infractor cibernetic a vizat un alt infractor cibernetic. În 2014, Hellsing, un grup de spionaj cibernetic restrâns și simplist din punct de vedere al tehnicilor utilizate, care viza în general organizații guvernamentale și diplomatice din Asia, a fost țintă a unui atac de tip spear-phishing demarat de o altă grupare de infractori cibernetici, la care a răspuns ulterior. Experții Kaspersky Lab consideră că acest tip de atac marchează o nouă direcție în activitățile de criminalitate cibernetică: războaiele APT (Advanced Persistent Threat).

Experții Kaspersky Lab au făcut această descoperire în timpul cercetării activităților demarate de Naikon, alt grup de spionaj cibernetic care viza tot organizații din regiunea Asia-Pacific. Experții Kaspersky Lab au descoperit că una dintre țintele Naikon a descoperit tentativa de infectare a sistemului prin intermediul unui e-mail de tip spear-phishing, care conținea fișiere periculoase.

Ținta a fost reticentă cu privire la autenticitatea e-mail-ului și a răspunsului primit și nu a deschis fișierul atașat. La scurt timp după, ținta a trimis un e-mail înapoi către adresa de la care primise mesajul, cu același fișier malware atașat. Această acțiune a atras atenția experților Kaspersky Lab, care au pornit o cercetare ce a dus la descoperirea grupului APT Hellsing.

Metoda de contra-atac indică faptul că Hellsing a vrut să identifice grupul Naikon și să colecteze informații despre acesta.

O analiză mai amănunțită a grupării Hellsing indică folosirea mai multor e-mail-uri de tip spear-phishing, create să distribuie fișiere malware în diverse organizații, pentru a le spiona. În momentul în care victima accesa fișierul, sistemul se infecta cu un backdoor care putea descărca și încărca fișiere, și care se putea actualiza și ulterior dezinstala automat. Conform descoperirilor experților Kaspersky Lab, numărul organizațiilor vizate de Hellsing până în prezent este de aproape 20.

Țintele Hellsing

Soluțiile Kaspersky Lab au detectat și au blocat malware-ul Hellsing în Malaezia, Filipine, India, Indonezia și SUA, cele mai multe victime fiind localizate în Malaezia și Filipine. Atacatorii sunt foarte selectivi în ceea ce privește tipul de organizație atacată, încercând să infecteze în principal entități guvernamentale și diplomatice.

„Acest atac Hellsing împotriva grupului Naikon, ce se aseamănă cu un fel de răzbunare de tipul Războiul Stelelor – Imperiul Contraatacă, este fascinant,” a comentat Costin Raiu, Director Global Research and Analysis Team (GReAT) în cadrul Kaspersky Lab. „În trecut, am văzut și alte grupuri APT care se atacau reciproc accidental, atunci când furau adrese de contact și distribuiau e-mail-uri în masă. Însă, acum, luând în considerare ținta și originile atacului, este mai probabil că acesta este un atac de tipul APT contra APT deliberat,” a explicat Costin Raiu.

Conform analizei Kaspersky Lab, gruparea Hellsing este activă cel puțin din 2012.

Protecție

Experții Kaspersky Lab recomandă utilizatorilor să adopte următoarele măsuri pentru a se proteja de atacurile Hellsing:

Să nu acceseze fișiere periculoase primite de la utilizatori necunoscuți;

Să fie atenți la arhivele protejate cu parolă care conțin fișiere de tip SCR sau alte fișiere executabile;

Dacă nu sunt siguri de securitatea fișierului, să îl deschidă în sandbox;

Să se asigure că folosesc un sistem de operare actualizat;

Să actualizeze toate aplicațiile de tipul Microsoft Office, Java, Adobe Flash Player și Adobe Reader.

Echipa Global Research and Analysis Team (GReAT) din cadrul Kaspersky Lab a descoperit Desert Falcons, o grupare de spionaj cibernetic de origine araba care vizeaza organizatii importante si utilizatori individuali localizati in mai multe tari din Orientul Mijlociu.

Echipa de cercetare Kaspersky Lab considera ca Desert Falcons este primul grup de mercenari cibernetici de nationalitate araba, care proiecteaza si executa operatiuni de spionaj cibernetic la scara larga. Compania de securitate IT estimeaza ca peste 30 de persoane, din trei echipe localizate in mai multe tari, sunt implicate in campaniile Desert Falcons. Principala metoda utilizata de grupul Desert Falcons pentru a transmite fisiere periculoase este prin spear phishing, postari pe retele sociale si mesaje private. Mesajele de phishing includ fisiere periculoase (sau link-uri catre fisiere periculoase) prezentate drept documente sau aplicatii legitime.

Potrivit Kaspersky, lista tintelor vizate include organizatii militare si guvernamentale, in special functionarii specializati in contracararea activitatilor de spalare de bani, precum si cei care lucreaza in sanatate si economie, institutii media de top, institutii de cercetare si educatie, furnizori de energie si de utilitati, activisti si lideri politici, servicii de paza si protectie si alte tinte care detin informatii geopolitice importante. In total, expertii Kaspersky Lab au descoperit peste 3.000 de victime, din peste 50 de tari, si peste un milion de fisiere sustrase.

Expertii in informatica ai CIA au lucrat timp de aproape un deceniu pentru a sparge sistemele de securitate ale telefoanelor si tabletelor Apple.

Aceasta concluzie a rezultat in urma consultarii unor documente furnizate de Edward Snowden, fost consultant al Agentiei de Securitate Nationala a SUA (NSA), ce arata ca informaticienii CIA au dezvoltat o versiune a aplicatiei XCode – program a carui versiune originala a fost produsa de Apple – pentru a accesa programele distribuite pe App Store.

Totusi, informatiile oferite de Snowden nu clarifica daca CIA chiar a reusit sa sparga codurile de criptare ale Apple, coduri ce securizeaza datele utilizatorilor si comunicatiile lor. Conform documentelor furnizate, aceasta operatiune a inceput in 2006, un an inainte ca grupul Apple sa lanseze primul iPhone, si a continuat pana in anul 2013, acoperind inclusiv perioada lansarii iPad-ului in 2010. De asemenea, informaticienii americani ar fi beneficiat de sprijinul colegilor lor britanici.

Cloud Atlas reprezintă o nouă campanie de spionaj a hackerilor ruși, care ar fi folosit codul sursă al campaniei Red October.

În cazul Red October s-a descoperit că hackerii culegeau informații de la diverse instituții și diplomați din întreaga lume, predominant din Rusia și Kazahstan. Numele vine de la luna octombrie a anului 2012, când cei de la Kaspersky au descoperit, pentru prima dată, atacul. În ianuarie 2013, când informațiile au fost date publicului, spionii cibernetici și-au încetat operațiunile, scrie Playtech.ro .

Experții Kaspersky Labs sunt cei care au descoperit și noua campanie Cloud Atlas, în luna august a acestui an. Cu toate că analiza uneltelor folosite și a datelor furate este abia la început, experții Kaspersky au remarcat imediat o serie de tactici mai puțin obișnuite pentru atacurile de tip APT (n.red. – Advanced Persistent Threat).

”Cum se întâmplă de obicei cu aceste operațiuni mari, având în vedere investițiile masive și numărul resurselor implicate, ele nu dispar pentru totdeauna. În mod normal, grupul dispare de pe radar timp de câteva luni, regândește uneltele și malware-ul folosite și apoi reiau operațiunile”, se arată pe blogul SecureList.

În campania Cloud Atlas, la fel ca și în Red October, computerele targetate se infectau prin fișiere Microsoft Office. Acestea aveau nume precum ”FT – Ukraine Russia’s new art of war.doc”, ”Катастрофа малайзийского лайнера.doc”, ”Organigrama Gobierno Rusia.doc” sau ”Diplomatic Car for Sale.doc”. Această ultimă denumire de fișier i-a ajutat pe experți să facă o legătură mai puternică cu Red October, dar și bucăți din codul sursă al fișierele malițioase.

Partea cea mai interesantă la Cloud Atlas ține de cloud. Mai exact, de cum s-au folosit hackerii de ”nor” pentru a transmite fișierele furate din computerele infectate. Fiecare malware în parte comunica cu un cont diferit de pe site-ul Cloud.me, un serviciu legitim, care nu a avut nicio implicare în această campanie de spionaj.

”Nu crede că CloudMe are vreo legătură cu grupul Cloud Atlas – atacatorii pur și simplu au creat conturi gratuite pe site-ul acestui provider de servicii și le-au abuzat, folosindu-le ca centru de comandă și control”, au explicat reprezentanții Kaspersky.

“Deocamdată nu avem imaginea completă a Cloud Atlas și nu știm exact ce căutau atacatorii. Astăzi am văzut un mesaj de la CloudMe. Noi am identificat 25 de conturi folosite de hackeri, dar cei de la CloudMe spun ca au descoperit aproximativ 10.000 de astfel de conturi”, a declarat Costin Raiu, liderul echipei Global Research & Analysis Team Kaspersky.

Totuși, scopul campaniei este, în mare, puterea politică și avantajele geostrategice care le oferă accesul la documente confidențiale. ”Credem că Red October este Cloud Atlas așa că suntem de părere că s-au furat documente diplomatice”, a mai spus el.

Totuși, hackerii nu au ales calea ușoară și au preferat să construiască totul de la zero. Pentru a induce în eroare experții în securitate, spune Raiu, aceștia au introdus în cod indicii în indiană, arabă și chiar și sintagma ”God Save The Queen”, însă niciun cuvânt în limba rusă.

Tocmai asta îi dă de gol, consideră expertul GREAT: faptul că s-a evitat atât de mult folosirea cuvintelor în limba rusă și s-au aruncat atât de multe alte cuvinte din limbi diferite.

Mai multe persoane din țări europene au fost arestate în cadrul unei operațiuni coordonată de Europol împotriva hackerilor care spionau camerele utilizatorilor.

Patru persoane au fost arestate în Marea Britanie şi alte 11 în România, Estonia, Franţa, Letonia, Italia şi Norvegia, în cadrul unei operaţiuni la nivel european coordonată de Europol. Suspecţii sunt acuzaţi că au folosit programe de tip “troian” pentru a accesa de la distanţă camerele de supraveghere ale victimelor, scrie Mediafax.

“Folosirea ilegală a (programelor de tip) Troian pentru control de la distanţă este o ameninţare semnificativă în ceea ce priveşte infracţionalitatea cibernetică, ce necesită un răspuns ferm, coordonat la nivel internaţional şi local”, a declarat Andy Archibald, directorul adjunct al unităţii de criminalitate informatică din cadrul Agenţiei Naţionale britanice împotriva Infracţionalităţii (NCA).

Biroul Comisarului pentru Informaţii (ICO), autoritatea britanică de reglementare în domeniul protecţiei datelor, a avertizat joi cu privire la un site rusesc care difuzează live imagini înregistrate de sute de camere web în locuinţe, companii şi locuripublice din Marea Britanie, acestea fiind vizate de hackeri pentru că proprietarii nu au schimbat parolele standard. ICO i-a sfătuit pe utilizatori să schimbe parolele iniţiale ale camerelor de supraveghere sau să le deconecteze de la Internet.

Site-ul rusesc, care difuzează imagini din peste 250 de ţări, include şi înregistrări din locuinţe private, magazine sau birouri din România. Cele mai multe camere din România repertoriate de site sunt din Bucureşti (52), Bacău (7) şi comuna Daia din Giurgiu (4). Acestea sunt amplasate în locuinţe sau curţi private, în birouri, magazine sau pe stradă. O imagine surprinsă într-o locuinţă privată din Bucureşti, de exemplu, prezintă un tânăr în propria bucătărie, în timp ce în alta apare un bărbat care lucrează în faţa computerului, într-o companie din Bucureşti.

Majoritatea camerelor prezintă o imagine statică şi nu par să funcţioneze. Dar fiecare link vine cu ceea ce site-ul pretinde că sunt coordonatele GPS ale camerei, codul poştal, ora locală şi o hartă care arată localizarea exactă.

Echipa Global Research and Analysis Team din cadrul Kaspersky Lab a publicat un raport de cercetare despre Regin, prima platformă de atac cibernetic care permite atacatorilor să acceseze și monitorizeze rețelele GSM, în plus față de alte activități de spionaj cibernetic. Atacatorii din spatele lui Regin au compromis rețele de calculatoare din cel puțin 14 țări diferite.

• Principalele victime ale operațiunii Regin sunt: operatori de telecomunicații, instituții guvernamentale și financiare, organizații de cercetare, organizații politice multinaționale și utilizatori individuali implicati în cercetare matematică/criptografică avansată.
• Victime au fost localizate în Algeria, Afghanistan, Belgia, Brazilia, Fiji, Germania, Iran, India, Indonezia, Kiribati, Malaysia, Pakistan, Siria și Rusia.
• Platforma Regin constă în multiple instrumente periculoase care pot compromite o întreagă rețea organizațională. Platforma Regin utilizează o metodă de comunicare complexă între rețelele infectate și serverele de comandă și control, permițând controlul la distanță și transmiterea datelor pe ascuns.
• Un modul Regin poate monitoriza sistemele de control ale celulelor GSM, colectând date despre celulele GSM și infrastructura rețelei.
• În aprilie 2008, atacatorii au colectat informații administrative care le-au permis să manipuleze cel puțin o rețea GSM dintr-o țară din Orientul Mijlociu.
• Unele mostre Regin par să fi fost create încă din 2003.

În primăvara anului 2012, experții Kaspersky Lab au inițiat analiza malware-ul Regin care părea să fie instrumentul unei campanii sofisticate de spionaj cibernetic. Experții Kaspersky Lab au urmărit acest malware pe o perioadă de aproape trei ani consecutivi.

Din când in când, experții Kaspesky Lab descopereau mostre fără o legatură pe mai multe servicii publice de scanare, cu o funcționalitate obscură și fără un context specific. Totuși, experții Kaspersky Lab au obținut si câteva mostre utilizate în atacuri reale, inclusiv în atacurile împotriva instituțiilor guvernamentale și a operatorilor Telecom, descoperind suficiente informații pentru a putea analiza această amenințare în detaliu.

Studiul aprofundat a arătat că Regin nu este doar un program periculos, ci o platformă – un pachet software care constă in multiple module ce pot infecta rețelele organizațiilor vizate, cu scopul de a obține control de la distanță pe toate nivelele posibile. Atacatorii din spatele Regin urmăresc să colecteze date confidențiale din rețelele atacate.

Actorul din spatele platformei Regin are o metodă bine dezvoltata pentru controlul rețelelor infectate. Experții Kaspersky Lab au descoperit câteva organizații compromise într-o țară, insă doar una dintre acestea era programată să comunice cu serverul de comandă și control localizat într-o altă țară.

Totuși, toate victimele Regin fac parte dintr-o rețea VPN de tip peer-to-peer, acestea fiind capabile să comunice între ele. Astfel, atacatorii au transformat toate organizațiile compromise într-o singura entitate, având posibilitatea să trimită comenzi și să sustragă informații prin intermediul unui singur punct de acces. Conform rezultatelor descoperite de experții Kaspersky Lab, această structură le-a permis atacatorilor să opereze în tăcere timp de mai mulți ani, fără a crea suspiciuni.

O caracteristică originală și interesantă a platformei Regin este capacitatea acesteia de a ataca rețelele GSM. Conform unor informații logate pe sistemul de control al celulelor GSM obținute de experții Kaspersky Lab în timpul investigației, atacatorii puteau accesa date care le permiteau să controleze celulele GSM din rețeaua unui operator de telecomunicații important. Acest lucru înseamna că atacatorii aveau acces la informațiile despre apelurile procesate de o anumită celulă, și erau capabili să redirecționeze aceste apeluri către alte celule, sau să activeze celule vecine. În prezent, conform descoperirilor, atacatorii din spatele Regin sunt singurii atacatori capabili de astfel de operațiuni.

„Capacitatea de a accesa și monitoriza rețelele GSM este poate cel mai neobișnuit și interesant aspect al acestor operațiuni,” a declarat Costin Raiu, Director of Global Research and Analysis Team la Kaspersky Lab. „Am devenit prea dependenți de rețelele de telefonie mobilă, iar acestea utilizează protocoale de comunicare învechite, care nu oferă securitate adecvata utilizatorului final. Deși reăelele GSM au mecanisme integrate care permit entitătilor precum organizațiile de aplicare a legii să identifice suspecții, infractorii cibernetici se pot folosi de aceste mecanisme pentru a lansa diferite atacuri asupra utilizatorilor de telefoane mobile,” a explicat Costin Raiu.

România se situează pe primul loc în lume din perspectiva numărului de site-uri infectate care susțin atacul Epic Turla în acest moment.

Turla, Snake  sau Uroburos reprezintă una dintre cele mai sofisticate campanii de spionaj cibernetic active în prezent. În martie 2014, atunci când au fost publicate primele analize, era încă neclar cum anume erau infectate țintele. Cele mai recente investigații ale Kaspersky Lab asupra noii operațiuni denumite Epic sau Epiccosplay, au scos la iveală faptul că acest ultim proiect reprezintă o parte esențială a mecanismului de infectare a victimelor.

Tehnicile de operare ale celor doua grupări (Epic și Turla), indică faptul că între ele există o relație de cooperare sau chiar că sunt una și aceeași grupare.

Țintele. Proiectul “Epic” a fost utilizat în atacuri cibernetice începând cu 2012, și culminând în perioada ianuarie-februarie 2014. Cel mai recent atac a fost detectat asupra unuia dintre utilizatorii Kaspersky Lab pe 5 august 2014.

Victimele proiectului “Epic” aparțin următoarelor categorii: organizații guvernamentale (Ministere al Afacerilor Interne, Ministere al Economiei și Comerțului, Ministere ale Afacerilor Externe, servicii de informații și securitate), ambasade, armată, organizații din domeniul cercetării și al educației, companii farmaceutice.

O mare parte din victime sunt localizate în Orientul Mijlociu și în Europa. Cu toate acestea, numeroase alte victime provin din alte regiuni, cum ar fi Statele Unite sau Rusia. În total, experții Kaspersky Lab au identificat câteva sute de adrese IP afectate la nivel global, distribuite în peste 45 de țări.

Pe primul loc la număr de victime se situează Franța, România aflându-se pe locul șapte, cu 15 adrese IP afectate. Printre cele 15 victime identificate pe teritoriul  României, se numără două ministere, două alte instituţii guvernamentale, companii private, precum și utilizatori de internet rezidențial sau mobil.

România este, de asemenea, țara cu cele mai multe site-uri infectate (șase) care susțin atacul Epic Turla în acest moment, aflându-se astfel pe primul loc în lume din perspectiva apetitului atacatorilor pentru noi victime. Sunt vizate ținte care prezintă interes pentru atacatori, cum ar fi utilizatorii care accesează internetul de la adrese IP guvernamentale.

Vectorii de atac.  Analiștii Kaspersky Lab au descoperit că atacatorii Epic Turla folosesc în atacurile de tip watering hole atât exploit-uri de tip zero-day, cât și strategii de social engineering pentru a infecta țintele.

În trecut, aceștia au folosit cel puțin două tipuri de exploit-uri zero-day: unul pentru Windows XP și 2003 (CVE-2013-5065), exploit care permitea atacatorilor Epic să obțină drepturi de administrator asupra sistemului și să funcționeze fără nicio restricție; și un al doilea exploit în Adobe Reader (CVE-2013-3346) inclus în atașamentele trimise victimelor.

În momentul în care un utilizator deschide un astfel de document PDF pe un sistem vulnerabil, el este automat infectat, atacatorii preluând imediat controlul asupra sistemului.

Atacatorii utilizează atât tehnici de spear phishing cât și watering hole pentru a infecta țintele. Atacurile detectate în această campanie de spionaj cibernetic se diferențiază în funcție de vectorul de infecție folosit inițial:

• Email-uri de tip spear-phishing, având atașamente de tip Adobe PDF cu exploit-uri (CVE-2013-3346 + CVE-2013-5065)
• Strategii de social engineering ce conving utilizatorii să ruleze programe de instalare malware cu extensia “.SCR”, ascunse uneori în cadrul unei arhive RAR
• Atacuri de tip watering hole ce distribuie exploit-uri Java (CVE-2012-1723), exploit-uri Flash (necunoscute) sau exploit-uri Internet Explorer 6, 7, 8 (necunoscute)
• Atacuri de tip watering hole cu social engineering pentru a convinge utilizatorul să ruleze aplicații “Flash Player” false care instalează malware

“Watering holes” sunt site-uri de mare interes pentru victime, ce au fost compromise în prealabil de către atacatori și au fost programate să injecteze coduri periculoase (exploit-uri) atunci când sunt vizitate de posibile ținte. În funcție de diverşi parametri precum şi de adresa de IP (de ex. un IP guvernamental), watering hole-urile îi servesc vizitatorului exploit-uri JAVA sau IE, sau aplicații false Adobe Flash Player sau Microsoft Security Essentials.

Odată ce utilizatorul este infectat, backdoor-ul Epic se conectează imediat la serverul de comandă și control și trimite un pachet cu informațiile referitoare la sistemul țintei. Acest backdoor este cunoscut și sub denumirile “WorldCupSec”, “TadjMakhal”, “Wipbot” sau “Tadvig”.

După compromiterea sistemului, atacatorii primesc informații succinte despre țintă și, pe baza acestora, livrează pachete de fișiere pre-configurate, care conțin o serie de comenzi ce trebuie executate în sistem.

În plus, atacatorii încarcă instrumente speciale, pentru a obține acces și la alte sisteme în rețeaua victimei. Printre acestea se numără un keylogger dedicat, arhivatorul RAR și alte utilitare standard cum ar fi utilitarul DNS Query de la Microsoft.

Prima etapă a Turla. În timpul analizei, cercetătorii Kaspersky Lab au observat că atacatorii utilizează malware-ul Epic pentru a instala un backdoor mai sofisticat, denumit “Cobra/Carbon system”, sau “Pfinet”. Ulterior, ei folosesc implantul Epic pentru a actualiza configurația “Pfinet” cu un nou set de servere de comandă și control. Cunoștințele foarte specifice necesare pentru a opera aceste două backdoor-uri arată că ele sunt interconectate și că atacatorii sunt cu siguranță aceiași în ambele cazuri.

“Update-urile de configurație  pentru “Cobra/Carbon system”, cunoscut de asemenea sub denumirea de Pfinet, sunt interesante, pentru că acesta este un alt proiect legat de actorul Turla,” explică Costin Raiu, Director Global Research and Analysis Team la Kaspersky Lab.“Aceasta sugerează că avem de-a face cu o infecție în etape, care începe cu Epic Turla – pentru a obține acces și pentru a valida profilul victimei. Dacă victima este interesantă, se trece la platforma de atac Turla Carbon,” încheie Costin Raiu.

Legături cu alte campanii de spionaj cibernetic. De remarcat este faptul că ar putea exista conexiuni și cu alte operațiuni de spionaj cibernetic: în februarie 2014, experții Kaspersky Lab au observat că operatorii Miniduke foloseau aceleași web-shell-uri pe serverele infectate ca și echipa Epic.

O legătură a operațiunii Epic cu Turla și Miniduke sugerează de asemenea posibili autori vorbitori de limba rusă. Unul dintre backdoor-urile Epic are numele intern “Zagruzchik.dll”, care înseamnă “bootloader” sau “program de încărcare” în limba rusă. Nu în ultimul rând, panoul de comandă și control al Epic setează pagina de cod 1251, care este folosită pentru caracterele chirilice.

Kaspersky Lab anunță publicarea unei analize amănunțite legate de malware-ul și infrastructura serverelor de comandă și control utilizate în campania de spionaj cibernetic cunoscută de cercetătorii Global Research and Analysis Team (GReAT) sub numele de „Crouching Yeti”. Originile campaniei datează încă de la finalul anului 2010, fiind în continuare activă şi în căutarea unor noi victime în fiecare zi.

Noi instrumente malware descoperite, o listă extinsă de victime și alte informaţii despre campania Crouching Yeti, cunoscută și sub numele de Energetic Bear.

„Energetic Bear este numele inițial ales de compania Crowd Strike pentru această campanie, conform propriei terminologii,” a declarat Nicolas Brulez, Principal Security Researcher în cadrul Kaspersky Lab. „Cuvântul „Bear” se referă la origine iar specialiștii Crowd Strike considerau că țara de provenienţă a campaniei este Rusia. Kaspersky Lab încă investighează toate informațiile disponibile legate de localizarea campaniei, însă, în acest moment nu există date suficient de clare pentru a veni cu o concluzie în acest sens. În plus, analiza noastră demonstrează că atenția atacatorilor la nivel global este extinsă şi nu vizează doar producătorii de energie. Pe baza acestor informații, am decis să numim acest fenomen altfel: cuvântul „Yeti” amintește de „Bear”, dar reflectă originea necunoscută a campaniei,” a explicat Nicolas Brulez.

Energetic Bear/ Crouching Yetinu vizează doar producători de energie

Energetic Bear/ Crouching Yeti include mai multe campanii de tip APT (Advanced Persistent Threat – amenințări persistente avansate). Spre deosebire de teoriile iniţiale, conform analizei experților Kaspersky Lab, victimele fac parte din diferite tipuri de organizații. Cele mai multe victime identificate fac parte din următoarele sectoare: industrial/utilaje, producţie, farmaceutic, construcții, educație, tehnologia informației.

Numărul total de victime la nivel global este de peste 2.800, dintre care cercetătorii Kaspersky Lab au identificat 101 organizații. Lista victimelor vizate pare să indice un interes al campaniei Crouching Yeti pentru anumite ținte strategice, precum și pentru instituții mai puțin importante. Experții Kaspersky Lab consideră că acestea din urmă ar putea fi victime colaterale, însă este posibilă şi varianta în care campania Crouching Yeti nu vizează doar ţinte foarte specifice dintr-un anumit sector, ci este de fapt o campanie extinsă de spionaj, cu interese în sectoare diferite.

Organizațiile atacate sunt localizate cu preponderență în SUA, Spania și Japonia, dar există victime și în Germania, Franța, Italia, Turcia, Irlanda, Polonia, Grecia și Croația. Ţinând cont de activitatea victimelor descoperite, principalul impact negativ pentru acestea este dat de sustragerea de informații confidenţiale, cum ar fi secretele comerciale sau expertiza companiei.

Spionaj industrial: instrumente malware cu multiple module adiționale

Crouching Yeti nu este o campanie foarte sofisticată. De exemplu, atacatorii nu au utilizat exploit-uri de tip zero-day, optând pentru exploit-uri răspândite pe Internet. Însă, acest lucru nu a favorizat identificarea campaniei mai rapid, aceasta operând nedescoperită timp mai mulți ani.

Specialiștii Kaspersky Lab au găsit dovezi legate de existența a cinci tipuri de instrumente malware utilizate de atacatori pentru a sustrage informații valoroase din sistemele compromise:

• Troianul Havex
• Troianul Sysmain
• Backdoor-ul ClientX
• Backdoor-ul Karagany și alte module conexe de tip stealer
• Instrumente pentru mișcare laterală sau de stadiu secundar

Cel mai des utilizat instrument este troianul Harvex. Cercetătorii Kaspersky Lab au descoperit, în total, 27 de versiuni diferite ale acestui program periculos și câteva module adiționale, inclusiv instrumente utilizate la colectarea datelor din cadrul sistemelor de control industrial. Produsele Kaspersky Lab detectează și elimină toate variantele de malware utilizate în această campanie.

Pentru comandă și control, Havex și alte instrumente malware utilizate de Crouching Yeti se conectectează la o rețea mare de website-uri compromise. Aceste site-uri conțin informații despre victime și transmit comenzi și module de malware adiționale către sistemele infectate.

Lista modulelor care pot fi descărcate include instrumente pentru sustragerea parolelor și a contactelor din Outlook, capturi de ecran, precum și module care caută și sustrag diferite tipuri de fișiere: documente de tip text, foi de calcul, fișiere PDF, discuri virtuale, fișiere protejate cu parolă, chei de securitate de tip PGP etc.

În prezent, troianul Havex include două module speciale cu scopul de a aduna și a transmite atacatorului informații din medii IT industriale specifice. Modulul de scanare OPC este construit pentru a colecta informații  extrem de detaliate despre serverele OPC care rulează în rețeaua locală. Aceste servere sunt utilizate de obicei în rețele care rulează multiple sisteme de automatizare industrială. Al doilea modul este un instrument utilizat pentru scanarea rețelei locale, cu scopul de a descoperi toate computerele care utilizează software OPC/SCADA, încercând ulterior să se conecteze la aceste sisteme pentru a identifica versiunea OPC/SCADA care rulează și pentru a transmite toate datele obținute către serverele de comandă și control.

Campanie de spionaj cibernetic cu origine necunoscută

Cercetătorii Kaspersky Lab au observat câteva trăsături care ar putea oferi informaţii legate de țara de origine a infractorilor aflați în spatele acestei campanii. Astfel, aceștia au demarat o analiză a 154 de înregistrări de timp și dată și au concluzionat că majoritatea mostrelor de malware au fost compilate între orele 06:00 și 16:00 UTC, interval care corespunde tuturor țărilor din Europa, inclusiv din Europa de Est.

Experții au analizat și limbajul utilizat de atacatori. Șirurile de text  din malware-ul analizat sunt scrise în engleză (de către vorbitori non-nativi). Spre deosebire de concluziile anterioare ale cercetărilor cu privire la această campanie, de această dată specialiștii Kaspersky Lab nu au ajuns la o concluzie definitivă care să confirme originea rusească a atacatorilor. Spre deosebire de rezultatele documentate legate de Red October, Miniduke, Cosmicduke, Snake și TeamSpy, cele aproape 200 de coduri binare periculoase analizate și conținutul operațional conex, nu au inclus limbaj chirilic (sau o transcriere a acestuia). De asemenea, analizând originea atacului, experții Kaspersky Lab au descoperit dovezi care pot indica vorbitori de franceză și suedeză.

Experții Kaspersky Lab își continuă cercetările legate de această campanie, lucrând impreună cu agenții de aplicare a legii, dar și cu parteneri din industrie. Textul integral al acestei cercetări este disponibil pe Securelist.com.