«Лаборатория Касперского» рассказала про русский вирус Turla
Новости Безопасность
Специалистам «Лаборатории Касперского» удалось решить загадки, загаданные кибершпионской кампанией Epic Turla, также известной как Snake или Uroburos, сообщается в блоге компании (как недавно сообщалось, этот вирус был обнаружен на компьютерах в офисе премьер-министра Украины Арсения Яценюка).
Десятимесячная работа экспертов «Лаборатории Касперского» позволила выявить структуру, методы и до некоторой степени цели атаки.
Анализ кода показал, что создатели Turla не являются носителями английского языка, о чем свидетельствуют многочисленные ошибки, допущенные в английских сообщениях. Есть и другие признаки этого: так, некоторые бэкдоры скомпилированы на русскоязычных системах. Кроме того, внутреннее имя одного из бэкдоров — zagruzchik.dll, что также указывает на русскоязычность злоумышленников. И наконец, панель управления Epic имеет кодовую страницу 1251, использующуюся для отображения кириллицы.
Злоумышленникам, стоящим за Epic Turla, удалось заразить несколько сотен компьютеров в 45 странах. Главными целями стали государственные учреждения, посольства, военные, образовательные, исследовательские и фармацевтические компании.
Первые случаи заражения были отмечены в 2012 году, а наибольшая активность пришлась на январь-февраль 2014 года. Последняя отмеченная «Лабораторией Касперского» атака произошла 5 августа этого года, и это показывает, что кампания продолжается до сих пор.
Исследователи «Лаборатории Касперского» обнаружили, что в Epic Turla используются эксплойты нулевого дня, социальная инженерия и атака методом водопоя. Было отмечено применение как минимум двух эксплойтов нулевого дня — для CVE-2013-5065, уязвимости повышения привилегий в Windows XP и Windows Server 2003, и CVE-2013-3346, уязвимости Adobe Reader, позволяющей заражать компьютер жертвы через вредоносный PDF-файл, приложенный к письму. Просмотр этого файла вызывал автоматическое заражение компьютера с получением злоумышленниками полного управления системой.
Также хакеры рассылают целевые фишинговые электронные письма и атаки методом «водопоя». Отмеченные способы атаки на системы жертв различаются в зависимости от вектора заражения:
— В целевых фишинговых письмах содержатся PDF-эксплойты (CVE-2013-3346 + CVE-2013-5065).
— Применяются методы социальной инженерии, чтобы заставить пользователя запустить инсталлятор зловреда с расширением .SCR, иногда сжатый RAR.
— В атаках методом водопоя используется Java-эксплойт (CVE-2012-1723), а также неизвестные эксплойты к Adobe Flash и Internet Explorer.
— Также в атаках методом водопоя применяется социальная инженерия — пользователя вынуждают запустить инсталлятор зловреда, замаскированный под Flash Player.
Так называемые «водопои» — это сайты, часто посещаемые потенциальными жертвами. Эти веб-сайты предварительно компрометируются злоумышленниками и становятся носителями вредоносного кода. В зависимости от IP жертвы она атакуется Java- или браузерными эксплойтами, подписанными поддельным Adobe Flash Player, или поддельным антивирусом Microsoft Security Essentials. Экспертам удалось обнаружить более 100 таких зараженных веб-сайтов. Их выбор отражает специфические задачи злоумышленников. К примеру, многие из зараженных испанских веб-сайтов принадлежат местным государственным органам. Большинство зараженных веб-сайтов расположено в Румынии.
После заражения бэкдор Epic, также известный как World Cup Sec, TadjMakhal, Wipbot или Tadvig, подключается к серверу управления и контроля, и злоумышленникам отсылается краткая информационная сводка по жертве, и, основываясь на ней, они отправляют на зараженную машину преконфигурированные пакетные командные файлы. В дополнение к ним загружаются различные дополнительные инструменты, такие как кейлоггер, архиватор RAR, инструмент Microsoft для отправки DNS-запросов.
Далее, как удалось определить исследователям, Epic устанавливает более замысловатый бэкдор, известный как Cobra/Carbon system, или Pfinet. После этого злоумышленники используют модуль Epic для обновления конфигурационного файла Carbon, задавая различные наборы серверов управления и контроля.
«Конфигурационные обновления для зловреда Carbon system интересны в первую очередь потому, что это другой проект от создателей Turla. Это показывает, что мы имеем дело с многоэтапной инфекцией, начинающейся с Epic Turla. Epic Turla используется для получения доступа и детектирования высокоприоритетных жертв. Если жертва интересна, зловред получает апгрейд до полного Turla Carbon system», — объяснил Костин Райю, руководитель центра глобальных исследований и анализа (Global Research and Analysis Team, GReAT) «Лаборатории Касперского».
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
Ищете, где скачать бесплатные программы?
Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
|
|
Программы для Windows
Программы для Linux
Приложения для Android
Приложения для iPhone