קספרסקי חושפת את "כח הפריצה" של קמפיין הריגול Turla

Turla, הידוע גם בשמות Snake או Uroburos, הוא אחת מפעילויות ריגול הסייבר המתוחכמות ביותר שעדיין פועלות. כאשר פורסם המחקר הראשוני על האיום במרץ 2014, עדיין לא היה ברור כיצד הודבקו הקורבנות. כעת, מחקר עדכני של מעבדת קספרסקי מגלה כי Epic הוא למעשה השלב הראשוני במכניזם ההדבקה של Turla. פרויקט Epic פעל כדי לפגוע במגוון מטרות מאז 2012 לפחות, כשרמות הפעילות הגבוהות ביותר נרשמו בחודשים ינואר פברואר 2014. לאחרונה, מעבדת קפסרסקי זיהתה התקפה זו אצל אחד מלקוחותיה ב- 5 באוגוסט, 2014.

נראה כי רוב הקורבנות ממוקמים במזרח התיכון ובאירופה, אך החוקרים גם איתרו מספר קורבנות באזורים אחרים, כולל בארה"ב. בסה"כ, מומחי מעבדת קספרסקי ספרו כמה מאות של כתובות IP של קורבנות המפוזרים ביותר מ- 45 מדינות, כולל צרפת הנמצאת בראש הרשימה.
ההתקפה. חוקרי מעבדת קספרסקי גילו כי תוקפי Epic Turla השתמשו בהתקפות פרצות יום אפס, הנדסה חברתית, וטכניקות בורות השקיה כדי לפגוע בקורבנות.
בעבר, הם השתמשו בלפחות שתי התקפות יום אפס: אחת ניצלה פרצה של Escalation of Privileges  בחלונות XP ובשרת חלונות 2003 (CVE-2013-5065), המאפשרת ל-Epic ליצור דלת אחורית עם הרשאות ברמת מנהל מערכת, ולרוץ ללא הפרעה. הפרצה השניה היא באדובי רידר (CVE-2013-3346) הנמצאת בשימוש בקבצים מצורפים לדואר אלקטרוני.
בכל פעם שמשתמש שאינו עירני פותח קובץ PDF עם קוד זדוני על גבי מערכת פגיעה, המכונה תידבק באופן אוטומטי, ותאפשר לתוקף לקבל שליטה מלאה ומיידית על המערכת.
התוקפים השתמשו בהתקפות פישינג ממוקדות בדואר אלקטרוני ו"בבורות השקיה" כדי להדביק קורבנות. ההתקפות שזוהו בקמפיין זה מחולקות למספר קטגוריות שונות בהתאם לערוץ שנעשה בו בעת יצירת ההתקפה:

– פישינג ממוקד בדואר אלקטרוני באמצעות פירצה ב-PDF של אדובי (CVE-2013-3346 + CVE-2013-5065)
– הנדסה חברתית כדי לגרום למשתמשים להפעיל מתקיני קוד זדוני עם סיומת .SCR שלעיתים נארזים בתוך RAR
– התקפות "בורות השקיה" באמצעת פרצת ג'אוה (CVE-2012-1723), פרצות אדובי פלאש (לא ידועות) או באמצעות אינטרנט אקספלורר 6, 7 ו-8 (לא ידועות).
– התקפות בורות השקיה מסתמכות על הנדסה חברתית כדי להוביל משתמשים להרצת מתקיני "נגני פלאש" מזויפים וזדוניים.
בורות השקיה הם אתרים בהם נוהגים לבקר קורבנות פוטנציאלים. אתרים אלה נפרצים בהתקפות מתקדמות ומוזרק אליהם קוד זדוני. בהסתמך על כתובת ה- IP של המבקר (לדוגמא, כתובת IP של ארגון ממשלתי), התוקפים מפעילים התקפות על פרצות בג'אוה או בדפדפן, או תוכנה מזויפת של נגן פלאש של אדובי או גרסה מזויפת של של Microsoft Security Essentials. בסה"כ, זוהו יותר מ- 100 אתרים שהוזרק בהם קוד זדוני. הבחירה באתרים משקפת את תחומי העניין של התוקפים. לדוגמא, רבים מהאתרים הנגועים בשפה הספרדית שייכים לממשל המקומי.

ברגע שהמשתמש נדבק, הדלת האחורית של Epicמתחברת מיידית לשרתי הפיקוד והשליטה (C&C) כדי לשלוח חבילת נתונים על מערכת הקורבן. דלת אחורית זו גם ידועה כ: “WorldCupSec”, “TadjMakhal” “Wipbot” או “Tavdig”.

ברגע שהמערכת נפגעה. התוקפים מקבלים סיכום קצר של נתונים על הקורבן, ובהתבסס על כך הם מספקים חבילת קבצים מוגדרת מראש, המכילה סדרה של פקודות להפעלה. נוסף להתקפות אלה, התוקפים מעלים כלים לתנועה רוחבית. אלה כוללים כלי Keylogger ייעודי, ארכיב RAR, וכלים סטנדרטיים כגון כלי של מיקרוסופט לשאילתה ב- DNS.

השלב הראשון של Turla. במהלך ניתוח ההתקפה, חוקרי מעבדת קפסרסקי זיהו כי התוקפים השתמשו בקוד הזדוני Epic כדי להפעיל דלת אחורית מתוחכמת יותר הידועה כ"מערכת Cobra/Carbon" או המוכרת על ידי מוצרי אנט-וירוס בשם "Pfinet". לאחר זמן מסוים, התוקפים הלכו צעד נוסף ועשו שימוש בהטמעה של Epic כדי לעדכן את קובץ ההגדרות של "Carbon" עם מערך שונה של שרתי פיקוד ושליטה. הידע הייחודי של התוקפים לגבי דרך ההפעלה של שתי הדלתות האחוריות האלה מצביע על קשר ביניהם, ועל כך שבשני המקרים התוקפים כנראה זהים.

"עדכוני ההגדרות עבור מערכת הקוד הזדוני 'Carbon' הם מעניינים, מאחר וזהו פרויקט נוסף הקשור לתוקפים של Turla. הדבר מצביע על כך שאנו מתמודדים עם הדבקה מרובת שלבים, המתחילה עם Epic Turla. היא משמשת כדי להשיג דריסת רגל ולאמת את הפרופיל של הקורבן, ואם הקורבן מעניין, הוא משודרג למערכת ה- Turla Carbonהמלאה", מסביר קוסטין ראיו, מנהל צוות מחקר וניתוח גלובלי בקספרסקי.