קספרסקי מנתחת את קמפיין טרולה

בין הקורבנות – סוכנויות ביון וגופי ממשל ואתרים ברשות הפלסטינית. מומחי מעבדת קספרסקי ספרו כמה מאות של כתובות IP של קורבנות המפוזרים ביותר מ- 45 מדינות

Turla, הידוע גם בשמות Snake או Uroburos, הוא אחת מפעילויות ריגול הסייבר המתוחכמות ביותר שעדיין פועלות. כאשר פורסם המחקר הראשוני על האיום במרץ 2014, עדיין לא היה ברור כיצד הודבקו הקורבנות. כעת, מחקר עדכני של מעבדת קספרסקי מגלה כי Epic הוא למעשה השלב הראשוני במכניזם ההדבקה של Turla.

Turla- התמונה הגדולה

· Epic Turla / Tavdig – השלב הראשון במכניזם ההדבקה

· Cobra Carbon system/ Pfinet (ואחרים) – שלב ביניים הכולל שדרוגים ותוספי תקשורת

· Snake / Uroburos - פלטפורמת נוזקות הכוללת rootkit ומערכות קבצים וירטואלים

פרויקט Epic פעל כדי לפגוע במגוון מטרות מאז 2012 לפחות, כשרמות הפעילות הגבוהות ביותר נרשמו בחודשים ינואר פברואר 2014. לאחרונה, מעבדת קפסרסקי זיהתה התקפה זו אצל אחד מלקוחותיה ב- 5 באוגוסט, 2014.

הרושם הוא שמטרות Epic משתייכות לקטגוריות הבאות: גופי ממשל (משרדי פנים, משרדי סחר, משרדי חוץ, וסוכנויות ביון), שגרירויות, צבא, ארגוני מחקר ואקדמיה, וחברות פארמה.

נראה כי רוב הקורבנות ממוקמים במזרח התיכון ובאירופה, אך החוקרים גם איתרו מספר קורבנות באזורים אחרים, כולל בארה"ב. בסה"כ, מומחי מעבדת קספרסקי ספרו כמה מאות של כתובות IP של קורבנות המפוזרים ביותר מ- 45 מדינות, כולל צרפת הנמצאת בראש הרשימה.

ההתקפה

חוקרי מעבדת קספרסקי גילו כי תוקפי Epic Turla השתמשו בהתקפות פרצות יום אפס, הנדסה חברתית, וטכניקות בורות השקיה כדי לפגוע בקורבנות.

בעבר, הם השתמשו בלפחות שתי התקפות יום אפס: אחת ניצלה פרצה של Escalation of Privileges בחלונות XP ובשרת חלונות 2003 (CVE-2013-5065), המאפשרת ל-Epic ליצור דלת אחורית עם הרשאות ברמת מנהל מערכת, ולרוץ ללא הפרעה. הפרצה השניה היא באדובי רידר (CVE-2013-3346) הנמצאת בשימוש בקבצים מצורפים לדואר אלקטרוני.

בכל פעם שמשתמש פותח קובץ PDF עם קוד זדוני על גבי מערכת פגיעה, המכונה תידבק באופן אוטומטי, ותאפשר לתוקף לקבל שליטה מלאה ומיידית על המערכת. התוקפים השתמשו בהתקפות פישינג ממוקדות בדואר אלקטרוני ו"בבורות השקיה" כדי להדביק קורבנות. ההתקפות שזוהו בקמפיין זה מחולקות למספר קטגוריות שונות בהתאם לערוץ שנעשה בו בעת יצירת ההתקפה:

· פישינג ממוקד בדואר אלקטרוני באמצעות פירצה ב-PDF של אדובי (CVE-2013-3346 + CVE-2013-5065)

· הנדסה חברתית כדי לגרום למשתמשים להפעיל מתקיני קוד זדוני עם סיומת .SCR שלעיתים נארזים בתוך RAR

· התקפות "בורות השקיה" באמצעת פרצת ג'אוה (CVE-2012-1723), פרצות אדובי פלאש (לא ידועות) או באמצעות אינטרנט אקספלורר 6, 7 ו-8 (לא ידועות).

· התקפות בורות השקיה מסתמכות על הנדסה חברתית כדי להוביל משתמשים להרצת מתקיני "נגני פלאש" מזויפים וזדוניים.

בורות השקיה הם אתרים בהם נוהגים לבקר קורבנות פוטנציאלים. אתרים אלה נפרצים בהתקפות מתקדמות ומוזרק אליהם קוד זדוני. בהסתמך על כתובת ה- IP של המבקר (לדוגמא, כתובת IP של ארגון ממשלתי), התוקפים מפעילים התקפות על פרצות בג'אוה או בדפדפן, או תוכנה מזויפת של נגן פלאש של אדובי או גרסה מזויפת של Microsoft Security Essentials.

בסה"כ, זוהו יותר מ- 100 אתרים שהוזרק בהם קוד זדוני. הבחירה באתרים משקפת את תחומי העניין של התוקפים. לדוגמא, רבים מהאתרים הנגועים בשפה הספרדית שייכים לממשל המקומי. ברגע שהמשתמש נדבק, הדלת האחורית של Epic מתחברת מידית לשרתי הפיקוד והשליטה (C&C) כדי לשלוח חבילת נתונים על מערכת הקורבן. דלת אחורית זו גם ידועה כ: “WorldCupSec”, “TadjMakhal” “Wipbot” או “Tavdig”.

ברגע שהמערכת נפגעה. התוקפים מקבלים סיכום קצר של נתונים על הקורבן, ובהתבסס על כך הם מספקים חבילת קבצים מוגדרת מראש, המכילה סדרה של פקודות להפעלה. נוסף להתקפות אלה, התוקפים מעלים כלים לתנועה רוחבית. אלה כוללים כלי Keylogger ייעודי, ארכיב RAR, וכלים סטנדרטיים כגון כלי של מיקרוסופט לשאילתה ב- DNS.

השלב הראשון של Turla

במהלך ניתוח ההתקפה, חוקרי מעבדת קפסרסקי זיהו כי התוקפים השתמשו בקוד הזדוני Epic כדי להפעיל דלת אחורית מתוחכמת יותר הידועה כ"מערכת Cobra/Carbon" או המוכרת על ידי מוצרי אנט-וירוס בשם "Pfinet". לאחר זמן מסוים, התוקפים הלכו צעד נוסף ועשו שימוש בהטמעה של Epic כדי לעדכן את קובץ ההגדרות של "Carbon" עם מערך שונה של שרתי פיקוד ושליטה. הידע הייחודי של התוקפים לגבי דרך ההפעלה של שתי הדלתות האחוריות האלה מצביע על קשר ביניהם, ועל כך שבשני המקרים התוקפים כנראה זהים.

"עדכוני ההגדרות עבור מערכת הקוד הזדוני 'Carbon' הם מעניינים, מאחר וזהו פרויקט נוסף הקשור לתוקפים של Turla. הדבר מצביע על כך שאנו מתמודדים עם הדבקה מרובת שלבים, המתחילה עם Epic Turla. היא משמשת כדי להשיג דריסת רגל ולאמת את הפרופיל של הקורבן, ואם הקורבן מעניין, הוא משודרג למערכת ה- Turla Carbonהמלאה", מסביר קוסטין ראיו, מנהל צוות מחקר וניתוח גלובלי בקספרסקי.

התוקפים מאחורי Turla בוודאות אינם דוברי אנגלית כשפת אם. הם שגו באיות מילים נפוצות וביטויים, כגון: Password it´s wrong!/File is not exists/ File is exists for edit. ישנם סימנים נוספים המספקים רמזים למקור התוקפים. לדוגמא, חלק מהדלתות האחוריות עובדו במערכת בשפה הרוסית. בנוסף, השם הפנימי של אחת מהדלתות האחוריות של Epic היא "Zagruzchik.dll", שברוסית משמעו bootloader או "טעינת תוכנה". בנוסף, לוח השליטה של Epic גם קובע את הקוד ל-codepage 125, אשר משמש לקידוד אותיות קיריליות.

קשרים עם תוקפים אחרים

מעניין לציין כי אותרו סימנים אפשריים לקשרים עם קמפיינים אחרים של ריגול סייבר. בפברואר 2014, מומחי מעבדת קפסרסקי זיהו כי תוקפי "מיני דיוק" משתמשים באותם web-shells של Epic כדי לנהל שרתים פרוצים.

למידע נוסף על Epic Turla בקרו ב- Securelist.com.

You might be interested also