Cybergang Turla ukrywa szkodliwe narzędzia w programie służącym do obejścia cenzury internetowej
Badacze z firmy Kaspersky odkryli, że rosyjskojęzyczne cyberugrupowanie Turla udoskonaliło stosowany zestaw narzędzi: opakowało swoje szkodliwe oprogramowanie KopiLuwak w pakiet o nazwie Topinambour, stworzyło dwie podobne wersje w innych językach oraz rozprzestrzenia swojego szkodnika za pośrednictwem zainfekowanych aplikacji umożliwiających obejście cenzury. Badacze uważają, że działania te mają na celu zminimalizowanie szansy na wykrycie oraz precyzyjne atakowanie ofiar. Topinambour został zauważony w operacji wymierzonej w podmioty rządowe na początku 2019 r.
Turla to szeroko znane rosyjskojęzyczne cyberugrupowanie stosujące cyberszpiegostwo wobec podmiotów rządowych i dyplomatycznych. Znane jest ze swojej innowacyjności oraz szkodliwego oprogramowania KopiLuwak, po raz pierwszy zaobserwowanego pod koniec 2016 r. W 2019 roku badacze z firmy Kaspersky odkryli nowe narzędzia i techniki wprowadzone przez to cyberugrupowanie w celu zminimalizowania szansy na wykrycie go.
Topinambour (od nazwy warzywa topinambur) to nowy plik .NET wykorzystywany przez ugrupowanie Turla w celu rozprzestrzeniania swojego szkodliwego oprogramowania JavaScript KopiLuwak za pośrednictwem zainfekowanych pakietów instalacyjnych legalnych programów – takich jak VPN – służących do obejścia cenzury internetowej.
KopiLuwak został stworzony do celów cyberszpiegostwa, a najnowszy proces infekcji gangu Turla obejmuje techniki, które pomagają szkodnikowi uniknąć wykrycia. Na przykład infrastruktura sterowania i kontroli posiada adresy IP, które przypominają zwykłe adresy LAN. Ponadto szkodnik jest niemal całkowicie bezplikowy – na ostatnim etapie infekcji zaszyfrowany trojan służący do zapewnienia zdalnej administracji zostaje osadzony w rejestrze komputera, aby w odpowiednim czasie umożliwić dostęp do urządzenia szkodliwemu oprogramowaniu.
Dwa odpowiedniki KopiLuwaka: trojany .NET RocketMan oraz PowerShell MiamiBeach również mają na celu cyberszpiegostwo. Badacze uważają, że wersje te są stosowane w odniesieniu do atakowanych urządzeń, na których zainstalowane jest szkodliwe oprogramowanie zabezpieczające potrafiące wykrywać szkodnika KopiLuwak.
W przypadku zakończonej sukcesem instalacji wszystkie trzy wersje potrafią:
- badać cele, aby dowiedzieć się, jakiego typu komputer został zainfekowany,
- gromadzić informacje dostępne w systemie oraz kartach sieciowych,
- kraść pliki,
- pobierać i wykonywać dodatkowe szkodliwe oprogramowanie,
- MiamiBeach potrafi dodatkowo wykonywać zrzuty ekranu.
W 2019 r. cyberugrupowanie Turla udoskonaliło swój zestaw narzędzi, wprowadzając wiele nowych funkcji, prawdopodobnie w celu zminimalizowania szans na wykrycie go przez rozwiązania zabezpieczające oraz badaczy. Obejmują one zmniejszenie cyfrowego śladu szkodliwego oprogramowania oraz stworzenie dwóch różnych ale podobnych wersji znanego szkodnika o nazwie KopiLuwak. Wykorzystanie pakietów instalacyjnych oprogramowania VPN, które potrafi obejść cenzurę internetową, sugeruje, że atakujący stosują te narzędzia w celu szpiegowania ściśle określonych celów. Ciągła ewolucja arsenału cyberugrupowania Turla przypomina o potrzebie stosowania analizy zagrożeń oraz oprogramowania zabezpieczającego, które potrafi chronić przed najnowszymi narzędziami i technikami stosowanymi przez ugrupowania APT. Na przykład ochrona punktów końcowych oraz sprawdzanie skrótów plików po pobraniu oprogramowania instalacyjnego mogłyby pomóc zabezpieczyć użytkowników przed takimi zagrożeniami jak Topinambour – powiedział Kurt Baumgartner, główny badacz ds. cyberbezpieczeństwa w firmie Kaspersky.
Porady bezpieczeństwa
Badacze z firmy Kaspersky zalecają podjęcie następujących działań pozwalających uchronić się przed wyrafinowanymi operacjami cyberszpiegowskimi:
- Wprowadź szkolenia w zakresie zwiększenia świadomości bezpieczeństwa dla personelu, podczas których nauczą się, jak rozpoznawać i unikać potencjalnie szkodliwych aplikacji oraz plików. Na przykład pracownicy powinni wiedzieć, że nie należy pobierać ani uruchamiać żadnych aplikacji ani programów z niezaufanych lub nieznanych źródeł.
- W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód w wyniku incydentów stosuj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.
- Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie zabezpieczające klasy enterprise, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.
- Zadbaj o to, aby Twój zespół z centrum operacji bezpieczeństwa posiadał dostęp do najnowszych danych dot. analizy zagrożeń, aby być na bieżąco z najnowszymi narzędziami, technikami oraz taktykami stosowanymi przez ugrupowania cyberprzestępcze.
Więcej informacji na temat nowej aktywności cybergangu Turla znajduje się na stronie https://securelist.com/turla-renews-its-arsenal-with-topinambour/91687/.