Szkodliwe oprogramowanie Turla coraz lepsze


O tym, że cyberprzestępcy nieustannie doskonalą swoje mechanizmy działania i uciekają się do coraz bardziej wyrafinowanych ataków, wiadomo nie od dziś. Potwierdzeniem tego są najnowsze doniesienia ekspertów Kaspersky, którzy wykryli, że swój zestaw narzędzi ulepszył rosyjskojęzyczny cybergang Turla. Cyberprzestępcy opakowali złośliwe oprogramowanie KopiLuwak w pakiet nazwany Topinambour, stworzyli jego dwie podobne odmiany w dwóch wersjach językowych oraz rozprzestrzenili szkodnika poprzez zainfekowane, umożliwiające przechytrzenie cenzury aplikacje. Zdaniem badaczy, te działania mają m.in. na celu zredukowanie szansy na wykrycie ataku.

O działalności Turla bywało już głośno. To rosyjskojęzyczne ugrupowanie zasłynęło m.in. z serii ataków cyberszpiegowskich wymierzonych w podmioty rządowe i dyplomatyczne. Znane jest ze stosowania innowacyjnych metod oraz rozprzestrzeniania złośliwego programu KopiLuwak, wykrytego po raz pierwszy u schyłku 2016 roku. W tym roku badacze Kaspersky dostrzegli, że Turla udoskonaliła swoje narzędzia i metody działania, a wszystko to najprawdopodobniej po to, aby zminimalizować szanse na jej wykrycie.

Z ustaleń badaczy Kaspersky wynika, że Turla wykorzystuje obecnie nowy .NET o nazwie Topinambour (od nazwy warzywa topinambur). Ma to na celu rozprzestrzenianie złośliwego oprogramowania JavaScript KopiLuwak za pośrednictwem zainfekowanych pakietów instalacyjnych legalnych programów – takich jak VPN – służących do obejścia cenzury internetowej.

KopiLuwak został stworzony do celów cyberszpiegostwa, a najnowszy proces infekcji gangu Turla obejmuje techniki, które pomagają szkodnikowi uniknąć wykrycia. Na przykład infrastruktura sterowania i kontroli posiada adresy IP, które przypominają zwykłe adresy LAN. Ponadto szkodnik jest niemal całkowicie bezplikowy – na ostatnim etapie infekcji zaszyfrowany trojan służący do zapewnienia zdalnej administracji zostaje osadzony w rejestrze komputera, aby w odpowiednim czasie umożliwić dostęp do urządzenia szkodliwemu oprogramowaniu.

Wykrywanie ataków

fot. mat. prasowe

Wykrywanie ataków

Cybergang Turla ukrywa szkodliwe narzędzia w programie służącym do obejścia cenzury internetowej

Dwa odpowiedniki KopiLuwaka: trojany .NET RocketMan oraz PowerShell MiamiBeach również mają na celu cyberszpiegostwo. Badacze uważają, że wersje te są stosowane w odniesieniu do atakowanych urządzeń, na których zainstalowane jest szkodliwe oprogramowanie zabezpieczające potrafiące wykrywać szkodnika KopiLuwak. W przypadku zakończonej sukcesem instalacji wszystkie trzy wersje potrafią:

  • badać cele, aby dowiedzieć się, jakiego typu komputer został zainfekowany,
  • gromadzić informacje dostępne w systemie oraz kartach sieciowych,
  • kraść pliki,
  • pobierać i wykonywać dodatkowe szkodliwe oprogramowanie,
  • MiamiBeach potrafi dodatkowo wykonywać zrzuty ekranu.

W 2019 r. cyberugrupowanie Turla udoskonaliło swój zestaw narzędzi, wprowadzając wiele nowych funkcji, prawdopodobnie w celu zminimalizowania szans na wykrycie go przez rozwiązania zabezpieczające oraz badaczy. Obejmują one zmniejszenie cyfrowego śladu szkodliwego oprogramowania oraz stworzenie dwóch różnych ale podobnych wersji znanego szkodnika o nazwie KopiLuwak. Wykorzystanie pakietów instalacyjnych oprogramowania VPN, które potrafi obejść cenzurę internetową, sugeruje, że atakujący stosują te narzędzia w celu szpiegowania ściśle określonych celów. Ciągła ewolucja arsenału cyberugrupowania Turla przypomina o potrzebie stosowania analizy zagrożeń oraz oprogramowania zabezpieczającego, które potrafi chronić przed najnowszymi narzędziami i technikami stosowanymi przez ugrupowania APT. Na przykład ochrona punktów końcowych oraz sprawdzanie skrótów plików po pobraniu oprogramowania instalacyjnego mogłyby pomóc zabezpieczyć użytkowników przed takimi zagrożeniami jak Topinambour – powiedział Kurt Baumgartner, główny badacz ds. cyberbezpieczeństwa w firmie Kaspersky.

Porady bezpieczeństwa

Badacze z firmy Kaspersky zalecają podjęcie następujących działań pozwalających uchronić się przed wyrafinowanymi operacjami cyberszpiegowskimi:

  • Wprowadź szkolenia w zakresie zwiększenia świadomości bezpieczeństwa dla personelu, podczas których nauczą się, jak rozpoznawać i unikać potencjalnie szkodliwych aplikacji oraz plików. Na przykład pracownicy powinni wiedzieć, że nie należy pobierać ani uruchamiać żadnych aplikacji ani programów z niezaufanych lub nieznanych źródeł.
  • W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód w wyniku incydentów stosuj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.
  • Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie zabezpieczające klasy enterprise, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.
  • Zadbaj o to, aby Twój zespół z centrum operacji bezpieczeństwa posiadał dostęp do najnowszych danych dot. analizy zagrożeń, aby być na bieżąco z najnowszymi narzędziami, technikami oraz taktykami stosowanymi przez ugrupowania cyberprzestępcze.

You have Successfully Subscribed!