Már két éve fut a "kampány"

Egy kiberkémkedési kampány titkai

Betekintés az egyik legfejlettebb, jelenleg is folyó kiberkémkedési kampányba, avagy ilyen a kiberbűnözők észjárása.

_{2014.08.12 14:25Szilágyi Szabolcs - ma.hu}

Kinyomtatom

+Nagyobb betűméret-Kisebb betűméret

Az Epic projekt legalább 2012 óta fut, legnagyobb aktivitása 2014 januárjában-februárjában volt megfigyelhető. A Kaspersky Lab legutóbb 2014. augusztus 5-én észlelte egyik felhasználójának a megtámadását.

Az Epic célpontjai a következő kategóriákba sorolhatók: kormányzati szervezetek (belügyminisztériumok, gazdasági és kereskedelmi minisztériumok, külügyminisztériumok, hírszerző hivatalok), nagykövetségek, katonaság, kutatási és oktatási intézmények, valamint gyógyszeripari vállalatok. A legtöbb áldozat a Közel-Keleten és Európában található, de a kutatók számos célpontot azonosítottak más régiókban is, többek között az Egyesült Államokban. A szakértők több száz áldozat IP-címét találták meg több mint 45 országban, a listavezető Franciaország.

Felfedezték, hogy az Epic Turla üzemeltetői nulladik napi sérülékenységek kihasználásával, pszichológiai manipulációval és watering hole technikákkal - vagyis az áldozatokat érdeklő weboldalak feltörésével és azokon rosszindulatú kód elhelyezésével - fertőzték meg áldozataikat. Összesen több mint 100 feltört webhelyet (watering hole-t) találtak a szakértők, és például a fertőzött spanyolországi webhelyek közül sok tartozott a helyi kormányhoz.

Valahányszor egy gyanútlan felhasználó megnyit egy rosszindulatúan módosított PDF fájlt egy sebezhető rendszeren, a számítógép automatikusan megfertőződik, lehetővé téve a támadó számára, hogy azonnali és teljes ellenőrzést szerezzen a célba vett rendszer felett.

Miután a felhasználó megfertőződött, az Epic backdoor (hátsó ajtó) azonnal kapcsolatba lép a parancs és vezérlő (C&C) szerverrel, és elküld egy csomagot az áldozat gépére vonatkozó rendszerinformációkkal. Ennek alapján a támadók egy előre konfigurált parancsfájlt küldenek vissza, amely végrehajtandó utasításokat tartalmaz. Emellett a támadók feltöltenek oldalirányú mozgást megvalósító eszközöket is. Ezek között megtalálható egy speciális billentyűzetleütés-rögzítő eszköz, egy RAR archiváló és olyan szokványos segédprogramok, mint a Microsoft-féle DNS lekérdező eszköz.

_{Forrás: Kaspersky}

Az elemzés során a Kaspersky Lab kutatói megfigyelték, hogy a támadók az Epic malware-t egy fejlettebb backdoor telepítésére is használják, amely "Cobra/Carbon rendszer", illetve egyes antivírus termékek által "Pfinet néven" ismert. Egy idő után az Epic implantátum segítségével frissítették a Carbon konfigurációs fájlját más C&C szerverekhez. A két backdoor működtetéséhez szükséges egyedi ismeretek a közöttük lévő világos és közvetlen kapcsolatra utalnak.

"Érdekesek a Carbon rendszer konfigurációs frissítései, mivel ez egy, a Turla fenyegetéshez kapcsolódó másik projekt, ami azt sugallja, hogy egy többlépcsős fertőzéssel állunk szemben. A művelet az Epic Turla-val kezdődik, amely megveti a lábát az áldozat gépén, és ellenőrzi, hogy valóban kiemelt célpontról van-e szó. Ha az áldozat érdeklődésre tart számot, a malware-t a teljes Turla Carbon rendszerre fejlesztik fel" - mondta Costin Raiu, a Kaspersky Lab globális kutató és elemző csapatának igazgatója.

A Turla mögött álló támadók egyértelműen nem angol anyanyelvűek, vannak jelek arra vonatkozólag, hogy honnan származhatnak. Így például a backdoor programok egy részét orosz nyelvű rendszeren kompilálták. Ráadásul az egyik Epic backdoor belső elnevezése "Zagruzchik.dll", ami oroszul "rendszerbetöltő programot" jelent. Végül az Epic vezérlőpaneljét az 1251-es nyelvi kódlapra állították be, amely a cirill karakterek megjelenítésére használatos.

2014 februárjában a Kaspersky Lab szakértői felfedezték, hogy a Miniduke néven ismert kiberkémkedési kampány üzemeltetői ugyanazt a webshell-t használják a fertőzött webszerverek kezelésére, mint az Epic Turla csapata.

Hozzáadom a könyvjelzőhözKüldd ide: DeliciousKüldd ide: DiggKüldd ide: FacebookKüldd ide: myspaceKüldd ide: twitter