Специалистам «Лаборатории Касперского» удалось решить загадки, загаданные кибершпионской кампанией Turla, также известной как Snake или Uroburos. В исследовании компании G-Data, вышедшем в феврале, не был прояснен ряд вопросов, в том числе остались неизвестны векторы заражения троянцем Turla. Десятимесячная работа экспертов «Лаборатории Касперского» позволила выявить структуру, методы и до некоторой степени цели атаки.

Злоумышленникам, стоящим за Epic Turla, удалось заразить несколько сотен компьютеров в 45 странах. Главными целями стали государственные учреждения, посольства, военные, образовательные, исследовательские и фармацевтические компании.

Согласно выводам исследователей, механизм кампании можно разобрать на несколько этапов:

— Epic Turla / Tavdig: заражение.

— Cobra Carbon system / Pfinet (и другие): промежуточные апгрейды.

— Snake / Uroburos: высокоуровневая вредоносная платформа, которая включает в себя руткит и виртуальную файловую систему.

География распространения Epic Turla весьма обширна. Статистика по IP-адресам целей показывает, что активнее всего Epic Turla действует во Франции, США, Иране, России, Белоруссии, Германии и Румынии.

1

 

Первые случаи заражения были отмечены в 2012 году, а наибольшая активность пришлась на январь-февраль 2014 года. Последняя отмеченная «Лабораторией Касперского» атака произошла 5 августа этого года, это показывает, что кампания продолжается до сих пор.

Исследователи «Лаборатории Касперского» обнаружили, что в Epic Turla используются эксплойты нулевого дня, социальная инженерия и атака методом водопоя. Было отмечено применение как минимум двух эксплойтов нулевого дня — для CVE-2013-5065, уязвимости повышения привилегий в Windows XP и Windows Server 2003, и CVE-2013-3346, уязвимости Adobe Reader, позволяющей заражать компьютер жертвы через вредоносный PDF-файл, приложенный к письму. Просмотр этого файла вызывал автоматическое заражение компьютера с получением злоумышленниками полного управления системой.

Также хакеры рассылают целевые фишинговые электронные письма и атаки методом водопоя. Отмеченные способы атаки на системы жертв различаются в зависимости от вектора заражения:

— В целевых фишинговых письмах содержатся PDF-эксплойты (CVE-2013-3346 + CVE-2013-5065).

— Применяются методы социальной инженерии, чтобы заставить пользователя запустить инсталлятор зловреда с расширением .SCR, иногда сжатый RAR.

— В атаках методом водопоя используется Java-эксплойт (CVE-2012-1723), а также неизвестные эксплойты к Adobe Flash и Internet Explorer.

— Также в атаках методом водопоя применяется социальная инженерия — пользователя вынуждают запустить инсталлятор зловреда, замаскированный под Flash Player.

Так называемые «водопои» — это сайты, часто посещаемые потенциальными жертвами. Эти веб-сайты предварительно компрометируются злоумышленниками и становятся носителями вредоносного кода. В зависимости от IP жертвы она атакуется Java- или браузерными эксплойтами, подписанными поддельным Adobe Flash Player, или поддельным антивирусом Microsoft Security Essentials. Экспертам удалось обнаружить более 100 таких зараженных веб-сайтов. Их выбор отражает специфические задачи злоумышленников. К примеру, многие из зараженных испанских веб-сайтов принадлежат местным государственным органам. Большинство зараженных веб-сайтов расположено в Румынии.

После заражения бэкдор Epic, также известный как World Cup Sec, TadjMakhal, Wipbot или Tadvig, подключается к серверу управления и контроля, и злоумышленникам отсылается краткая информационная сводка по жертве, и, основываясь на ней, они отправляют на зараженную машину преконфигурированные пакетные командные файлы. В дополнение к ним загружаются различные дополнительные инструменты, такие как кейлоггер, архиватор RAR, инструмент Microsoft для отправки DNS-запросов.

Далее, как удалось определить исследователям, Epic устанавливает более замысловатый бэкдор, известный как Cobra/Carbon system, или Pfinet. После этого злоумышленники используют модуль Epic для обновления конфигурационного файла Carbon, задавая различные наборы серверов управления и контроля.

«Конфигурационные обновления для зловреда Carbon system интересны в первую очередь потому, что это другой проект от создателей Turla. Это показывает, что мы имеем дело с многоэтапной инфекцией, начинающейся с Epic Turla. Epic Turla используется для получения доступа и детектирования высокоприоритетных жертв. Если жертва интересна, зловред получает апгрейд до полного Turla Carbon system», — объяснил Костин Райю, руководитель центра глобальных исследований и анализа (Global Research and Analysis Team, GReAT) «Лаборатории Касперского».

Анализ кода показал, что создатели Turla не являются носителями английского языка, об этом свидетельствуют многочисленные ошибки, допущенные в английских сообщениях. Есть и другие признаки этого: так, некоторые бэкдоры скомпилированы на русскоязычных системах. Кроме того, внутреннее имя одного из бэкдоров — zagruzchik.dll, что также указывает на русскоязычность злоумышленников. И наконец, панель управления Epic имеет кодовую страницу 1251, использующуюся для отображения кириллицы.

2

Категории: Вредоносные программы, Главное, Хакеры