Los misterios de la operación de Epic Turla, ciberespionaje con víctimas españolas

Fecha: Jue, 14/08/2014 - 10:48 Fuente: Dpto. de comunicación de Kaspersky Lab

Los expertos de Kaspersky Lab contaron 500 IPs víctimas distribuidas en más de 45 países, con Francia a la cabeza de la lista de afectados. Los objetivos son organismos como Ministerios del interior, de Industria y Comercio, de Asuntos Exteriores, Agencias de Inteligencia, embajadas, militares, centros de de investigación y de educación, así como compañías farmacéuticas
Los misterios de la operación de Epic Turla, ciberespionaje con víctimas españolas

Los atacantes de Epic utilizan una amplia red de ataques de pozo de agua que apuntan al usuario con precisión quirúrgica. Este es uno de los sitios web inyectados

imagen cortesía de Kaspersky Lab

Cuando G-Data hizo pública la investigación inicial sobre la campaña APT "Turla" o "Uroburos" en marzo de 2014, todavía no estaba claro cómo se infectaban las víctimas. Ahora, los últimos análisis de Kaspersky Lab sobre la denominada operación "Epic" o "Epiccosplay" revelan que podría ser un proyecto paralelo de Turla. En concreto, el uso de ciertos códigos, técnicas de cifrado y muestras indican una fuerte relación de cooperación entre estos dos grupos, Epic y Turla, o incluso que son la misma amenaza.

Víctimas: La campaña Epic Turla se ha utilizado para atacar a una gran variedad de objetivos al menos desde 2012, con el pico en su nivel de actividad en enero-febrero de 2014. Más recientemente, Kaspersky Lab detectó este ataque cuando atacaba a uno de sus usuarios, el 5 de agosto de 2014.

Objetivos: Parece estar dirigido a entidades gubernamentales (Ministerio del Interior, Ministerio de Industria y Comercio, Ministerio de Asuntos Exteriores, agencias de inteligencia), embajadas, militares, centros de de investigación y de educación, así como compañías farmacéuticas.
La mayoría de las víctimas parecen estar ubicadas en Oriente Medio y Europa. Sin embargo, los analistas observaron múltiples víctimas en otras regiones, incluidos los EE.UU. y Rusia. En total, los expertos de Kaspersky Lab contaron cerca de 500 IPs de víctimas distribuidas en más de 45 países, con Francia a la cabeza de la lista. En España también hay víctimas de este ciberespionaje.

Vectores de ataque: Los analistas de Kaspersky Lab descubrieron que los atacantes de Epic Turla utilizan exploits zero day, ingeniería social y waterholering para infectar a las víctimas. En el pasado, se utilizaron al menos dos ataques zero day: uno para escalada de privilegios (EOP) en Windows XP y Windows Server 2003 (CVE-2013-5065), que permite que el backdoor Epic logre privilegios de administrador en el sistema; y un exploit para Adobe Reader (CVE-2013-3346).

Los ataques detectados en esta campaña utilizan distintos vectores de ataque para infectar a sus víctimas:
•    Archivos PDF con exploits (CVE-2013-3346)
•    Instaladores de malware con extensión “scr”, a veces comprimidos con RAR
•    Falso "Flash Player", que instala el malware

En los dos últimos casos, los ciberatacantes se basan en técnicas de ingeniería social para conseguir que la víctima ejecute el archivo. Los atacantes utilizan tanto spearphishing como waterholering para infectar a sus víctimas.
Si el usuario se infecta, el backdoor Epic se conecta inmediatamente al servidor de Comando y Control (C&C) para enviar información del sistema de la víctima. Este backdoor también se conoce como "WorldCupSec," "TadjMakhal," "Wipbot" o "Tavdig".
Hasta el momento, no se ha observado ningún módulo de persistencia y  tras el reinicio del sistema, el malware ya no está activo. En algunos casos, los atacantes añaden el módulo de persistencia manualmente al backdoor mediante la programación de una tarea para ejecutarlo.

Una vez que el sistema se ve comprometido: Los atacantes reciben un breve resumen de la información de la víctima y, en base a eso, ellos entregan un lote pre-configurado de archivos que contienen una serie de comandos que se ejecutará con una lista de varias carpetas, conexiones de red y así sucesivamente.
Además de eso, los atacantes suben herramientas personalizadas de movimiento lateral. Esto incluye un keylogger específico, el archivador RAR y utilidades estándar, como herramienta de consulta DNS de Microsoft.
 
La primera etapa de Turla: Durante el análisis, los analistas de Kaspersky Lab observaron que los atacantes utilizan el malware Epic para desplegar un backdoor más sofisticado, conocido como "Cobra / Carbon" o "pfinet". Después de algún tiempo, los atacantes van más allá y utilizan el implante Epic para actualizar el archivo de configuración de pfinet con un conjunto diferente de servidores C&C. El modo de actuación de estos dos backdoors indica que existe una conexión entre ellos y que los atacantes son los mismos.
"Los cambios de configuración en el malware Cobra/Carboo, también conocido como pfinet, son interesantes, porque se trata de otro proyecto relacionado con el actor Turla. Esto sugiere que se trata de una infección de varias etapas que comienza con Epic Turla - para hacerse un hueco y validar si la víctima es de alto perfil. Si la víctima es interesante, se mejora al sistema de Turla Carbon completo"- explica Costin Raiu, director de GReAT de Kaspersky Lab.
Además, puede haber más conexiones con otros actores: en febrero de 2014 los expertos de Kaspersky Lab observaron el actor Miniduke utilizando el mismo WebShell que usa Epic Turla en sus servidores hackeados.
Otra pista del enlace de Epic con Turla y Miniduke es un posible nexo rusoparlante. Además, un backdoor de Epic tiene el nombre interno de "Zagruzchik.dll", que significa "gestor de arranque" en ruso. El panel de control de Epic Turla configura para el idioma la página de código 1251, que se utiliza para representar caracteres cirílicos.

valorar este articulo:
Su voto: Nada

Enviar un comentario nuevo

Datos Comentario
El contenido de este campo se mantiene como privado y no se muestra públicamente.
Datos Comentario
Datos Comentario
Enviar