Cercetătorii Kaspersky Lab care monitorizează diferitele facțiuni ale cunoscutei grupări de limbă rusă Turla (cunoscută și ca Snake sau Uroburos) au descoperit că cea mai recentă versiune a malware-ului KopiLuwak este trimisă către victime folosind un cod aproape identic cu cel utilizat cu numai o lună în urmă în operațiunea Zebrocy. Aceasta este o subsidiară a Sofacy (cunoscută și ca Fancy Bear și APT28), un alt atacator de limbă rusă. Cercetătorii au mai descoperit că cele două grupări au ținte comune, axate pe centre geopolitice din Asia Centrală și importante entități militare și guvernamentale.
Acestea sunt concluziile raportului asupra activității a patru facțiuni active, atribuite Turla, publicat de echipa globală de cercetare și analiză a Kaspersky Lab.
Grupul KopiLuwak (numele derivă dintr-un sortiment rar de cafea) a fost descoperit în noiembrie 2016, atunci când distribuia documente cu malware și cu macro-uri activate, care conțineau un malware nou Javascript, capabil să se ascundă foarte bine, proiectat pentru recunoașterea sistemului și a rețelei. Cea mai recentă versiune de KopiLuwak a fost observată la mijlocul anului 2018, când cercetătorii au observat noi ținte în Siria și Afganistan. Turla a folosit un nou vector de livrare de phishing cu fișiere de scurtătură Windows (.LNK). Analiza a arătat că fișierul LNK conținea PowerShell pentru a decoda și a trimite playload-ul KopiLuwak. Acest PowerShell a fost aproape identic cu cel utilizat în activitatea Zebrocy cu o lună în urmă.
Cercetătorii au descoperit, de asemenea, o suprapunere a victimelor celor două grupări, care s-au axat pe ținte politice importante, inclusiv entități guvernamentale de cercetare și securitate, misiuni diplomatice și militare, în principal din Asia Centrală.
Printre alte facțiuni ale Turla urmărite de cercetători în 2018 se numără cele cunoscute sub numele de Carbon și Mosquito.
În raportul lor, cercetătorii oferă dovezi suplimentare pentru a susține ipoteza că rețelele Wi-Fi au fost atacate de către Turla pentru a trimite malware-ul Mosquito victimelor. Ei au găsit, de asemenea, modificări ulterioare ale puternicei structuri de spionaj cibernetic Carbon, care a fost instalată în mod tradițional foarte selectiv, vizând anumite victime, care prezentau un interes special. Experții se așteaptă să vadă alte modificări ale codului și o implementare selectivă a acestui malware și în 2019.
Țintele din 2018 ale facțiunilor Turla includ Orientul Mijlociu și Africa de Nord, precum și părți din Europa de Vest și de Est, din Asia Centrală și de Sud, și din America.
“Turla este una dintre cele mai vechi și mai bune grupări de atacatori, renumită pentru faptul că se metamorfozează constant și încearcă noi abordări”, spune Kurt Baumgartner. principal security researcher în echipa GReAT a Kaspersky Lab. „Cercetările noastre privind principalele ei facțiuni, derulate în cursul anului 2018, arată că Turla continuă să se regenereze și să experimenteze. Este demn de remarcat, însă, că, în timp ce alți atacatori de limbă rusă – CozyDuke (APT29) și Sofacy, vizează organizațiile din vest, cum ar fi presupusul atac asupra Comitetului Național Democrat în 2016, Turla și-a desfășurat în liniște operațiunile sale spre est, unde activitatea și, mai recent, chiar și tehnicile de livrare a malware-ului au început să se suprapună cu sub-gruparea Sofacy, Zebrocy. Din cercetarea noastră reiese că dezvoltarea și implementarea codului Turla sunt în desfășurare, iar organizațiile care cred că ar putea fi o țintă ar trebui să se pregătească pentru acest lucru.”
Pentru a reduce riscul de a deveni victima unor operațiuni complexe de atacuri direcționate, Kaspersky Lab le recomandă organizațiilor următoarele:
- Utilizați o soluție de securitate cu eficiență recunoscută, alături de tehnologii împotriva atacurilor direcționate și informații despre amenințări, cum ar fi soluția Kaspersky Threat Management and Defense. Acestea pot să detecteze atacuri direcționate avansate prin analizarea anomaliilor de rețea și să le ofere echipelor de securitate cibernetică vizibilitate completă asupra rețelei și automatizarea răspunsurilor.
- Oferiți personalului din departamentul de securitate acces la cele mai recente date ale serviciilor de informații despre amenințări. Astfel, vor avea instrumente utile pentru cercetarea și prevenirea atacurilor direcționate, cum ar fi indicatorii de compromitere (IOC), YARA și rapoarte personalizate despre amenințările complexe.
- Asigurați-vă că procesele de gestionare a patch-urilor sunt bine stabilite în companie, verificați toate configurațiile de sistem și implementați cele mai bune practici.
- Dacă observați indicii timpurii ale unui atac direcționat, luați în calcul serviciile de securitate administrate, care vă vor permite să detectați proactiv amenințările complexe, să reduceți timpul de rezidență a malware-ului și să organizați în timp util primele măsuri, în cazul unui incident.