Prim Hírek

Az Epic projekt legalább 2012 óta fut, legnagyobb aktivitása 2014 januárjában-februárjában volt megfigyelhető. A Kaspersky Lab legutóbb 2014. augusztus 5-én észlelte egyik felhasználójának a megtámadását.

Áldozatok

Az Epic célpontjai a következő kategóriákba sorolhatók: kormányzati szervezetek (belügyminisztériumok, gazdasági és kereskedelmi minisztériumok, külügyminisztériumok, hírszerző hivatalok), nagykövetségek, katonaság, kutatási és oktatási intézmények, valamint gyógyszeripari vállalatok.

A legtöbb áldozat a Közel-Keleten és Európában található, de a kutatók számos célpontot azonosítottak más régiókban is, többek között az Egyesült Államokban. A Kaspersky Lab szakértői több száz áldozat IP címét találták meg több mint 45 országban, a listavezető Franciaország.

A támadás

A Kaspersky Lab kutatói felfedezték, hogy az Epic Turla üzemeltetői nulladik napi sérülékenységek kihasználásával, pszichológiai manipulációval és watering hole technikákkal –vagyis az áldozatokat érdeklő weboldalak feltörésével és azokon rosszindulatú kód elhelyezésével – fertőzték meg áldozataikat. Összesen több mint 100 feltört webhelyet (watering hole-t) találtak a vállalat szakértői, és például a fertőzött spanyolországi webhelyek közül sok tartozott a helyi kormányhoz.

Valahányszor egy gyanútlan felhasználó megnyit egy rosszindulatúan módosított PDF fájlt egy sebezhető rendszeren, a számítógép automatikusan megfertőződik, lehetővé téve a támadó számára, hogy azonnali és teljes ellenőrzést szerezzen a célba vett rendszer felett.

Miután a felhasználó megfertőződött, az Epic backdoor (hátsó ajtó) azonnal kapcsolatba lép a parancs és vezérlő (C&C) szerverrel, és elküld egy csomagot az áldozat gépére vonatkozó rendszerinformációkkal. Ennek alapján a támadók egy előre konfigurált parancsfájlt küldenek vissza, amely végrehajtandó utasításokat tartalmaz. Emellett a támadók feltöltenek oldalirányú mozgást megvalósító eszközöket is. Ezek között megtalálható egy speciális billentyűzetleütés-rögzítő eszköz, egy RAR archiváló és olyan szokványos segédprogramok, mint a Microsoft-féle DNS lekérdező eszköz.

A Turla első szakasza

Az elemzés során a Kaspersky Lab kutatói megfigyelték, hogy a támadók az Epic malware-t egy fejlettebb backdoor telepítésére is használják, amely “Cobra/Carbon rendszer”, illetve egyes antivírus termékek által “Pfinet néven” ismert. Egy idő után az Epic implantátum segítségével frissítették a Carbon konfigurációs fájlját más C&C szerverekhez. A két backdoor működtetéséhez szükséges egyedi ismeretek a közöttük lévő világos és közvetlen kapcsolatra utalnak.

„Érdekesek a Carbon rendszer konfigurációs frissítései, mivel ez egy, a Turla fenyegetéshez kapcsolódó másik projekt, ami azt sugallja, hogy egy többlépcsős fertőzéssel állunk szemben. A művelet az Epic Turla-val kezdődik, amely megveti a lábát az áldozat gépén, és ellenőrzi, hogy valóban kiemelt célpontról van-e szó. Ha az áldozat érdeklődésre tart számot, a malware-t a teljes Turla Carbon rendszerre fejlesztik fel” – mondta Costin Raiu, a Kaspersky Lab globális kutató és elemző csapatának igazgatója.

A Turla felépítése:

·         Epic Turla/Tavdig: A kezdeti szakasz fertőzési mechanizmusa

·         Cobra Carbon rendszer/Pfinet: közbenső frissítések és kommunikációs pluginek

·         Snake/Uroburos: fejlett malware platform, amely rootkitet és virtuális fájlrendszert tartalmaz

Nyelvhasználat.

A Turla mögött álló támadók egyértelműen nem angol anyanyelvűek, vannak jelek arra vonatkozólag, hogy honnan származhatnak. Így például a backdoor programok egy részét orosz nyelvű rendszeren kompilálták. Ráadásul az egyik Epic backdoor belső elnevezése “Zagruzchik.dll”, ami oroszul “rendszerbetöltő programot” jelent. Végül az Epic vezérlőpaneljét az 1251-es nyelvi kódlapra állították be, amely a cirill karakterek megjelenítésére használatos.

Kapcsolat más fenyegetéssel

2014 februárjában a Kaspersky Lab szakértői felfedezték, hogy a Miniduke néven ismert kiberkémkedési kampány üzemeltetői ugyanazt a webshellt használják a fertőzött webszerverek kezelésére, mint az Epic Turla csapata.