Wiadomości

Badacze z Kaspersky Lab monitorujący różne podgrupy rosyjskojęzycznego cybergangu Turla (który działa od wielu lat i jest znany także jako Snake lub Uroburos) odkryli, że najnowsza odmiana jego szkodnika, KopiLuwak, jest rozprzestrzeniana przy użyciu kodu, który jest niemal identyczny jak ten wykorzystany zaledwie miesiąc wcześniej przez Zebrocy, podgrupę innego rosyjskojęzycznego ugrupowania o nazwie Sofacy (znanego również jako Fancy Bear oraz APT28). Badacze ustalili również, że oba ugrupowania atakują podobne cele skoncentrowane wokół geopolitycznych punktów zapalnych w Azji Środkowej oraz newralgicznych podmiotów rządowych i wojskowych.

Wyniki nowego badania Kaspersky Lab zostały przedstawione w przeglądzie ewolucji oraz aktywności czterech aktywnych podgrup zaliczanych do gangu Turla.

KopiLuwak (nazwa pochodzi od rzadkiego gatunku kawy) został po raz pierwszy wykryty w listopadzie 2016 r. Szkodnik dostarczał dokumenty ze szkodliwym oprogramowaniem oraz włączoną obsługą makr, które pobierały na maszynę ofiary nowe, starannie zamaskowane narzędzie, którego celem było przeprowadzenie rekonesansu systemu i sieci. Najnowszy etap ewolucji KopiLuwaka miał miejsce w połowie 2018 r., gdy badacze zidentyfikowali nowe cele tego szkodnika w Syrii i Afganistanie. Ugrupowanie Turla zastosowało nową technikę - spersonalizowane wiadomości phishingowe z wykorzystaniem skrótów systemu Windows (pliki .LNK). Analiza wykazała, że plik LNK zawierał wiersz polecenia PowerShell, którego celem było odszyfrowanie i umieszczenie na komputerze ofiary szkodliwej funkcji. Skrypt był niemal identyczny jak ten wykorzystywany miesiąc wcześniej przez gang Zebrocy.

Badacze ustalili również, że cele tych dwóch ugrupowań cyberprzestępczych w pewnym stopniu pokrywają się i mają charakter polityczny - obejmowały one między innymi rządowe placówki zajmujące się badaniami i bezpieczeństwem, misje dyplomatyczne oraz obiekty wojskowe, głównie w Azji Środkowej.

W 2018 roku cele podgrup związanych ze szkodliwym oprogramowaniem Turla były zlokalizowane na Bliskim Wschodzie oraz w Afryce Północnej, jak również w niektórych częściach Europy Zachodniej i Wschodniej, Azji Środkowej i Południowej oraz w Ameryce Północnej i Południowej.

Turla to jedno z najstarszych, najdłużej działających i najsprawniejszych spośród znanych ugrupowań cyberprzestępczych, które charakteryzuje się ciągłą ewolucją oraz testowaniem innowacji i nowych podejść. Nasze badanie dotyczące jego głównych podgrup w 2018 r. pokazuje, że ugrupowanie to wciąż odnawia się i eksperymentuje. Warto jednak zauważyć, że podczas gdy inne rosyjskojęzyczne cybergangi, takie jak CozyDuke (APT29) oraz Sofacy, atakowały organizacje na zachodzie, czego przykładem jest m.in. atak na Krajowy Komitet Partii Demokratycznej w Stanach Zjednoczonych w 2016 r., grupa Turla spokojnie kierowała swoją uwagę na wschód, gdzie jej aktywność, a ostatnio nawet techniki rozprzestrzeniania, zaczęły pokrywać się z podgrupą Zebrocy należącą do gangu Sofacy. Z naszego badania wynika, że ugrupowanie Turla nadal rozwija i implementuje kod, a organizacje, które uważają, że mogą stanowić jego cel, powinny się na to przygotować - powiedział Kurt Baumgartner, główny badacz ds. cyberbezpieczeństwa, Kaspersky Lab.

źródło: Kaspersky Lab