EnglishActualizare 17:58 Kaspersky: Operaţiunea de spionaj cibernetic Epic Turla ţinteşte instituţii guvernamentale
Ţara noastră se situează pe primul loc în lume din perspectiva numărului de site-uri infectate care susţin atacul Epic Turla în acest moment, potrivit unui comunicat remis redacţiei.
Victimele proiectului "Epic" aparţin următoarelor categorii: organizaţii guvernamentale (Ministere al Afacerilor Interne, Ministere al Economiei şi Comerţului, Ministere ale Afacerilor Externe, servicii de informaţii şi securitate), ambasade, armată, organizaţii din domeniul cercetării şi al educaţiei, companii farmaceutice.
"Turla, Snake sau Uroburos reprezintă una dintre cele mai sofisticate campanii de spionaj cibernetic active în prezent. În martie 2014, atunci când au fost publicate primele analize, era încă neclar cum anume erau infectate ţintele. Cele mai recente investigaţii ale Kaspersky Lab asupra noii operaţiuni denumite Epic sau Epiccosplay, au scos la iveală faptul că acest ultim proiect reprezintă o parte esenţială a mecanismului de infectare a victimelor", se precizează în sursa citată.
Tehnicile de operare ale celor doua grupări (Epic şi Turla), indică faptul că între ele există o relaţie de cooperare sau chiar că sunt una şi aceeaşi grupare, potrivit comunicării.
Ţintele. Proiectul "Epic" a fost utilizat în atacuri cibernetice începând cu 2012, şi culminând în perioada ianuarie-februarie 2014. Cel mai recent atac a fost detectat asupra unuia dintre utilizatorii Kaspersky Lab pe 5 august 2014.
O mare parte din victime sunt localizate în Orientul Mijlociu şi în Europa. Cu toate acestea, numeroase alte victime provin din alte regiuni, cum ar fi Statele Unite sau Rusia. În total, experţii Kaspersky Lab au identificat câteva sute de adrese IP afectate la nivel global, distribuite în peste 45 de ţări.
Pe primul loc la număr de victime se situează Franţa, România aflându-se pe locul şapte, cu 15 adrese IP afectate. Printre cele 15 victime identificate pe teritoriul României, se numără două ministere, două alte instituţii guvernamentale, companii private, precum şi utilizatori de internet rezidenţial sau mobil.
România este, de asemenea, ţara cu cele mai multe site-uri infectate (şase) care susţin atacul Epic Turla în acest moment, aflându-se astfel pe primul loc în lume din perspectiva apetitului atacatorilor pentru noi victime, susţine compania specializată în securitate cibernetică. Sunt vizate ţinte care prezintă interes pentru atacatori, cum ar fi utilizatorii care accesează internetul de la adrese IP guvernamentale.
În momentul în care un utilizator deschide un astfel de document PDF pe un sistem vulnerabil, el este automat infectat, atacatorii preluând imediat controlul asupra sistemului.
Reprezentanţii Kaspersky informează că atacatorii utilizează atât tehnici de spear phishing cât şi watering hole pentru a infecta ţintele. Atacurile detectate în această campanie de spionaj cibernetic se diferenţiază în funcţie de vectorul de infecţie folosit iniţial.
După compromiterea sistemului, atacatorii primesc informaţii succinte despre ţintă şi, pe baza acestora, livrează pachete de fişiere pre-configurate, care conţin o serie de comenzi ce trebuie executate în sistem.
În plus, atacatorii încarcă instrumente speciale, pentru a obţine acces şi la alte sisteme în reţeaua victimei. Printre acestea se numără un keylogger dedicat, arhivatorul RAR şi alte utilitare standard cum ar fi utilitarul DNS Query de la Microsoft.
Prima etapă a Turla. În timpul analizei, cercetătorii Kaspersky Lab au observat că atacatorii utilizează malware-ul Epic pentru a instala un backdoor mai sofisticat, denumit "Cobra/Carbon system", sau "Pfinet". Ulterior, ei folosesc implantul Epic pentru a actualiza configuraţia "Pfinet" cu un nou set de servere de comandă şi control. Cunoştinţele foarte specifice necesare pentru a opera aceste două backdoor-uri arată că ele sunt interconectate şi că atacatorii sunt cu siguranţă aceiaşi în ambele cazuri.
"Update-urile de configuraţie pentru "Cobra/Carbon system", cunoscut de asemenea sub denumirea de Pfinet, sunt interesante, pentru că acesta este un alt proiect legat de actorul Turla," explică Costin Raiu, Director Global Research and Analysis Team la Kaspersky Lab. "Aceasta sugerează că avem de-a face cu o infecţie în etape, care începe cu Epic Turla - pentru a obţine acces şi pentru a valida profilul victimei. Dacă victima este interesantă, se trece la platforma de atac Turla Carbon," încheie Costin Raiu.
------
Entităţi statale din România sunt vizate de un nou atac cibernetic de anvergură, a declarat, pentru presă, purtătorul de cuvânt al SRI, Sorin Sava, care a precizat că atacul are ca sursă grupări de criminalitate informatică, grupări extremist-teroriste şi chiar actori statali.
"Pot să vă confirm că vorbim despre un nou atac cibernetic de anvergură la adresa României, sunt vizate entităţi statale din România", a spus Sava.
El a menţionat că Serviciul desfăşoară "investigaţii ce acoperă o paletă diversă".
"Aceste atacuri cibernetice au ca sursă grupări de criminalitate informatică, grupări extremist-teroriste şi chiar actori statali", a spus purtătorul de cuvânt al SRI.
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
