L'operazione di cyber-spionaggio Epic Turla ha colpito 45 paesi in Europa e in Medio Oriente tra cui anche l’Italia, al tredicesimo posto della classifica dei paesi più colpiti. In Europa sono stati presi di mira i ministeri degli interni, dell’economia e degli affari esteri, le forze armate e le ambasciate.
Roma, 07 Agosto 2014 - L'operazione "Epic" rappresenta la prima fase dell’infezione multistadio della campagna Turla
Turla, nota anche come Snake o Uroburos è una delle più sofisticate campagne di cyber-spionaggio ancora in corso. La prima indagine pubblicata su Turla/Snake/Uroburos non aveva risposto ad una domanda molto importante: come vengono infettate le vittime?
Gli ultimi risultati dell’indagine di Kaspersky Lab su questa operazione rivelano che Epic è la fase iniziale del processo di infezione delle vittime di Turla.
Turla:
- Epic Turla/Tavdig: la prima fase del processo di infezione.
- Cobra Carbon System/Pfinet (+altri): aggiornamenti intermedi e plugin di comunicazione.
- Snake/Uroburos: piattaforma malware di livello molto alto che include un rootkit e file system virtuali.
Vittime
Il progetto "Epic" è stato usato sin dal 2012, con il livello più alto di attività registrato nei mesi di gennaio e febbraio del 2014. Più recentemente, Kaspersky Lab ha rilevato questo tipo di attacco contro uno dei suoi utenti il 5 Agosto 2014.
Gli obiettivi presi di mira da "Epic" appartengono alle seguenti categorie: enti pubblici (Ministero dell'Interno, Ministero del Commercio, Ministero degli Affari Esteri, agenzie di intelligence), ambasciate, forze armate, istituti di ricerca e istruzione e aziende farmaceutiche.
La maggior parte delle vittime si trovano in Medio Oriente e in Europa, ma alcune sono state individuate anche in altri paesi, tra cui gli Stati Uniti. In totale, gli esperti di Kaspersky Lab contano diverse centinaia di indirizzi IP vittime della campagna distribuiti in più di 45 paesi, la Francia risulta la più colpita seguita da Stati Uniti e Iran. L’Italia è al tredicesimo posto della classifica dei paesi vittime di questo massiccio attacco di cyber-spionaggio.
L'attacco. I ricercatori di Kaspersky Lab hanno scoperto che per infettare le vittime, i criminali che si celano dietro a Epic Turla, utilizzano attacchi del tipo exploit zero-day, di social engineering e tecniche di watering hole.
In passato, sono stati utilizzati almeno due exploit zero-day: uno per la Escalation of Privileges (EOP) in Windows XP e Windows Server 2003 (CVE-2013-5065), che permette alla backdoor Epic di ottenere i privilegi di amministratore di sistema ed operare senza restrizioni; l’altro è un exploit in Adobe Reader (CVE-2013-3346), che viene utilizzato all’interno di allegati di posta elettronica nocivi.
Ogni volta che l’utente, ignaro di tutto, apre un file PDF dannoso su un sistema vulnerabile, la macchina verrà automaticamente infettata, permettendo al criminale di ottenere il controllo immediato e completo del sistema.
Per infettare le vittime i criminali utilizzano sia le email spear-phishing dirette che gli attacchi watering hole. Gli attacchi identificati in questa operazione si dividono in diverse categorie a seconda del vettore di infezione iniziale utilizzato per danneggiare la vittima:
- Spear-phishing e-mail con exploit Adobe PDF (CVE-2013-3346 + CVE-2013-5065)
- Social engineering per ingannare l'utente e spingerlo ad attivare gli installer del malware con estensione "SCR", a volte archiviati in RAR
- Attacchi watering hole utilizzando exploit Java (CVE-2012-1723), exploit di Adobe Flash (sconosciuti) o exploit di Internet Explorer 6, 7, 8 (sconosciuti)
- Attacchi watering hole che si basano su tecniche di social engineering per ingannare l'utente spingendolo ad attivare falsi "Flash Player" installer di malware
I watering hole sono siti comunemente visitati dalle potenziali vittime. Questi siti vengono anticipatamente compromessi dai criminali e infettati per distribuire codici dannosi. A seconda dell'indirizzo IP del visitatore (per esempio, l’IP di un'organizzazione governativa), gli attaccanti distribuiscono Java o browser exploit, falsi software di Adobe Flash Player o una versione falsa di Microsoft Security Essentials. In totale, abbiamo osservato più di 100 siti web compromessi. La scelta dei siti web riflette l'interesse specifico dei criminali. Ad esempio, molti dei siti spagnoli che sono stati infettati appartengono ai governi locali.
Una volta che l'utente viene infettato, la backdoor Epic si connette immediatamente al server di comando e controllo (C&C) per inviare un pacchetto con le informazioni del sistema della vittima. La backdoor è anche conosciuta come "WorldCupSec", "TadjMakhal", "Wipbot" o "Tadvig".
Quando il sistema è stato compromesso, i criminali ricevono brevi informazioni di riepilogo dalla vittima, e sulla base di queste informazioni, inviano file batch preconfigurati contenenti una serie di comandi per l'esecuzione. Oltre a questo, i criminali fanno l’upload di strumenti di supporto. Questi includono uno specifico keylogger tool, un archiviatore RAR ed utility standard come un tool di query DNS di Microsoft.
Prima tappa di Turla:
Durante l'indagine, i ricercatori di Kaspersky Lab hanno osservato come i criminali usassero il malware Epic per distribuire una backdoor più sofisticata conosciuta come "Cobra/Carbon system", chiamata anche "Pfinet" da alcuni prodotti anti-virus. Dopo qualche tempo, i criminali si sono spinti oltre e hanno utilizzato l'impianto Epic per aggiornare il file di configurazione "Carbon" con un diverso set di server C&C. Le unicità nel modo di operare di queste due backdoor indicano una connessione chiara e diretta tra loro.
"Gli aggiornamenti di configurazione per il malware ‘Carbon system’ sono molto interessanti, perché rappresentano un altro progetto legato al team che si cela dietro Turla. Ciò indica che si tratta di un’infezione multistadio che inizia proprio con Epic Turla. Epic Turla viene utilizzato per ottenere un punto d'appoggio e per confermare l'alto profilo della vittima. Se la vittima è interessante, viene aggiornata con tutto il sistema Turla Carbon", spiega Costin Raiu, Director of the Global Research e Analysis Team di Kaspersky Lab.
Lingua usata:
I criminali che si celano dietro Turla non sono sicuramente di madrelingua inglese. Fanno errori ortografici, sbagliando parole ed espressioni, come ad esempio:
- Password it´s wrong!
- File is not exists
- File is exists for edit
Ci sono altre caratteristiche che forniscono un indizio sull'origine dei criminali. Ad esempio, alcune delle backdoor sono state compilate su un sistema in lingua russa. Inoltre, il nome interno di una delle backdoor di Epic è "Zagruzchik.dll", che significa "programma di caricamento" o "bootloader" in russo.
Infine, il pannello di controllo della nave madre di Epic ha impostato la tabella dei codici a 1251, che viene utilizzato per i caratteri in cirillico.
Collegamenti con altri team:
E’ interessante notare, come siano stati individuati possibili connessioni con diverse campagne di cyber-spionaggio. Nel febbraio 2014, gli esperti di Kaspersky Lab hanno osservato come Miniduke usava le stesse web-shell per gestire i server web infetti, utilizzate dal team di Epic.
Per saperne di più sul funzionamento di "Epic Turla", è possibile leggere il post sul blog di Kaspersky Lab.
Informazioni su Kaspersky Lab
Kaspersky Lab è la più grande azienda privata del mondo che produce e commercializza soluzioni di sicurezza per gli endpoint. L’azienda si posiziona tra i primi quattro vendor al mondo in questo mercato*. Nel corso dei suoi 16 anni di storia, Kaspersky Lab è stata un pioniere nella sicurezza IT, offrendo al mercato soluzioni di sicurezza IT per la protezione di utenti finali, Piccole e Medie Imprese e grandi aziende. Kaspersky Lab, la cui holding è registrata in Gran Bretagna, opera in 200 paesi e protegge oltre 300 milioni di clienti in tutto il mondo. Per ulteriori informazioni: www.kaspersky.com/it.
* L’azienda si è posizionata al quarto posto nel, 2012 di IDC. La classifica è stata pubblicata nel report IDC Worldwide Endpoint Security 2013-2017 Forecast and 2012 Vendor Shares (IDC #242618, August 2013). Il report ha classificato i vendor software in base al fatturato da soluzioni di sicurezza endpoint Worldwide Endpoint Security Revenue by Vendor nel 2012.
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
Twitter: https://twitter.com/KasperskyLabIT
Facebook: http://www.facebook.com/kasperskylabitalia
google Plus: https://plus.google.com/u/0/b/110369116315123340458/110369116315123340458/posts
