Mysterie Turla-cyberspionagecampagne ontrafeld

Door · 12/08/2014

Turla, ook bekend als ‘Snake’ of ‘Uroburos’, behoort tot de meest geavanceerde aanhoudende cyberspionagecampagnes. Onderzoeken naar deze operatie gaven tot op heden geen antwoord op de belangrijkste vraag: hoe werden de slachtoffers geïnfecteerd? Kaspersky Lab onthult met de meest recente onderzoeksresultaten dat Epic het eerste stadium is van het Turla-infectiemechanisme.

In het kort:

  • Epic Turla/Tavdig: het eerste stadium infectiemechanisme
  • Cobra Carbom systeem/Pfinet (e.a.): tussentijdse upgrades en communicatie plugins
  • Snake/Uroburos: hoogwaardig malwareplatform inclusief rootkit en virtuele bestandssystemen

Slachtoffers
Het Epic Turla-project is in ieder geval sinds 2012 gebruikt om een verscheidenheid aan doelwitten aan te vallen. De hoogste activiteit vond plaats in januari/februari 2014. De meest recente aanval tegen een van zijn gebruikers is door Kaspersky Lab waargenomen op 5 augustus jl..

Het lijkt erop dat Epic Turla zich richt op de volgende categorieën: overheidsinstellingen (Ministeries van Binnenlandse Zaken, Ministeries van Handel, Ministeries van Buitenlandse Zaken, inlichtingendiensten), ambassades, defensie, onderzoek- en onderwijsorganisaties en farmaceutische bedrijven.

Het merendeel van de slachtoffers lijkt te zijn gevestigd in het Midden-Oosten en Europa. Onderzoekers hebben echter ook meerdere slachtoffers waargenomen in andere regio’s, waaronder de VS en Rusland. In totaal hebben deskundigen van Kaspersky Lab 500 slachtoffers geteld met IP’s verdeeld over ruim 45 landen, waarbij Frankrijk de lijst aanvoert.

De aanval
Onderzoekers van Kaspersky Lab ontdekten dat de Epic Turla-aanvallers gebruik maken van zero-day exploits, social engineering en watering hole-aanvallen om slachtoffers te infecteren.
In het verleden gebruikten ze ten minste twee zero-day exploits: een voor Escalation of Privileges (EoP) in Windows XP en Windows Server 2003 (CVE-2013-5056), die de Epic backdoor in staat stelt om beheerdersrechten te verkrijgen op het systeem waardoor zij de volledige controle krijgen; en een exploit in Adobe Reader (CVE-2013-3346).

Wanneer een nietsvermoedende gebruiker een kwaadaardig PDF-bestand opent op een kwetsbaar systeem, wordt het apparaat automatisch geïnfecteerd, waardoor de aanvaller direct de volledige controle over het doelwit verkrijgt.
De aanvallers gebruiken zowel directe spear-phishing emails en watering hole attacks om slachtoffers te infecteren. De gedetecteerde aanvallen in deze operatie zijn onder te verdelen in verschillende categorieën, afhankelijk van het infectiemechanisme waarmee het slachtoffer als eerste benaderd is:

  • Spear-phishing e-mails met Adobe PDF exploits (CVE-2013-3346 + CVE-2013-5065)
  • Social engineering om de gebruiker te lokken naar reeds werkende malware-installeerders met “.SCR”-extensie, soms ingepakt met RAR
  • Watering hole attacks die gebruikmaken van Java exploits (CVE-2012-1723), Adobe Flash exploits (onbekend) of Internet Explorer 6, 7, 8 exploits (onbekend)
  • Watering hole attacks die gebruikmaken van social engineering om de gebruiker te lokken naar reeds werkende fake “Flash Player” malware-installeerders

Watering holes zijn websites die vaak bezocht worden door potentiële slachtoffers. Deze zijn gecompromitteerd door de aanvallers en wanneer het slachtoffer de site bezoekt raakt hij geïnfecteerd. De infectie biedt, afhankelijk van de unieke set cookies of het IP-adres van de bezoeker (bijvoorbeeld als dit het IP is van een overheidsorganisatie), JAVA- of IE-exploits, nep Flash-spelers of een nep Microsoft Safety Scanner aan. In totaal hebben de onderzoekers van Kaspersky meer dan honderd gecompromitteerde websites genoteerd. De keuze voor websites toont specifieke interesse van de aanvallers aan. Zo behoren bijvoorbeeld veel van de geïnfecteerde Spaanse websites tot lokale overheden.

Als de gebruiker geïnfecteerd raakt, gaat de Epic backdoor direct door met verbinding maken met de command & control (C&C) server, waar systeeminformatie van het slachtoffer naartoe verstuurd wordt. Deze backdoor is ook bekend onder de namen “WorldCupSec,” “TadjMakhal,” “Wipbot” of “Tavdig.”

Zodra een systeem is aangetast
De aanvallers ontvangen een korte samenvatting van de gegevens van het slachtoffer en leveren op basis daarvan een vooraf geconfigureerde set met systeemcommando’s af. Daarnaast uploaden de aanvallers een aantal tools. Hiertoe behoren een specifieke keylogger tool, een RAR Archiver en standaard hulpprogramma’s zoals de DNS Query tool van Microsoft.

Turla’s eerste fase
Tijdens de analyse namen onderzoekers van Kaspersky Lab waar dat de aanvallers de Epic-malware gebruikten om een meer geavanceerde backdoor te installeren die bekend staat als “Cobra/Carbon” of “Pfinet.” Na enige tijd gingen de aanvallers een stap verder en gebruikten zij de Epic-implant om het Carbon-configuratiebestand bij te werken met een andere set van C&C-servers. Na grondige analyse van de werking van deze twee backdoors is een duidelijke directe verbinding ontdekt.

“De configuratie-updates voor de “Carbon”-malware zijn interessant, want dit is een ander project dat nu gerelateerd kan worden aan de Turla-groep. Dit suggereert dat we te maken hebben met een multifase infectie die begint met Epic Turla – om zo de slachtoffers te infecteren en vervolgens te onderzoeken. Als het slachtoffer interessant is, wordt deze bijgewerkt naar het volledige Turla Carbon systeem”, aldus Costin Raiu, directeur van het Global Research and Analysis Team (GReAT) bij Kaspersky Lab.

Taalgebruik
De aanvallers achter Turla zijn overduidelijk van oorsprong niet Engelstalig. Ze gebruiken regelmatig verkeerde spelling en uitdrukkingen, bijvoorbeeld:

  • Password it’s wrong!
  • File is not exists
  • File is exists for edit

Er zijn meer aanwijzingen die duiden op de afkomst van de aanvallers. Zo zijn enkele backdoors samengesteld op een Russischtalig systeem. Daarnaast wordt voor een van de Epic-backdoors intern de naam “Zagruzchik.dll” gebruikt, wat “boot loader” betekent in het Russisch.

Ten slotte is het Epic Turla-bedieningspaneel zo geconfigureerd dat het Cyrillische tekens weergeeft.

Overeenkomsten met andere dreigingen
Er zijn er diverse mogelijke overeenkomsten met andere cyberspionagecampagnes ontdekt. In februari 2014 namen deskundigen van Kaspersky Lab waar dat de MiniDuke-malware dezelfde webshell gebruikte als het Epic Turla-team.

Meer informatie over verbindingen tussen «Epic» en Turla vindt u op Securelist.com

Geef een reactie

Gerelateerde berichten...

Volg ons:

Uitgelicht

IT-bedrijven zetten steeds vaker in op employer branding 

Uit recent gepubliceerde cijfers blijkt dat circa 25% van de ICT’ers in het afgelopen jaar van baan en/of werkgever wisselde. ...

KindeRdam verbreedt haar horizon

Bij de Rotterdamse kinderopvangorganisatie KindeRdam is er qua telefonie veel veranderd de afgelopen tijd. Een bestuurlijke fusie met de HefGroep ...

Een bericht van Odido Business

Begin september was daar plots Odido. Een nieuwe provider, maar wel één met al 6 miljoen klanten. Odido is er ...

Chantal 't Gilde

Qualys Enterprise TruRisk Platform brengt de werkelijke cyberrisico’s in kaart

Qualys introduceerde begin november het nieuwe Qualys Enterprise TruRisk Platform, dat organisaties ondersteunt in het beheren en verminderen van cyberrisico's. ...

april, 2024

» Volledige kalender
» Uw event aanmelden

Meer

» Meer columns

Bedrijfsnieuws

Met High NA EUV opent Intel Foundry nieuwe grenzen in chipfabricage Intel is de eerste binnen de industrie die High NA EUV gebruikt, waardoor Intel ook na Intel 18A marktleider blijft. Wat is er nieuw: Intel Foundry meldt een belangrijke mijlpaal in de geavanceerde halfgeleiderproductie met de voltooide assemblage van de eerste commerciële Extreme Ultraviolet (EUV) lithografiescanner met hoge numerieke apertuur (High NA) in de industrie, die zich bevindt op de R&D-locatie van het bedrijf in Hillsboro, Oregon. Intels TWINSCAN EXE:5000 High NA EUV tool van lithografieleider ASML doorloopt nu kalibratiestappen ter voorbereiding op de productie van Intels toekomstige proces roadmap. De nieuwe tool heeft de mogelijkheid om de resolutie en de schaalbaarheid van features voor de volgende generatie processors drastisch te verbeteren door het optische ontwerp voor het projecteren van geprinte beelden op een silicium wafer te veranderen. “Met de toevoeging van High NA EUV heeft Intel de meest veelzijdige lithografie-toolbox in de industrie, waardoor het bedrijf toekomstige procesmogelijkheden voorbij Intel 18A kan stimuleren tot in de tweede helft van dit decennium.” – Mark Phillips, Intel Fellow en directeur Lithografie, Hardware en Oplossingen voor Intel Foundry Logic Technology Development. Waarom is het belangrijk: High NA EUV tools zullen een cruciale rol spelen in geavanceerde chipontwikkeling en de productie van de volgende generatie processors. Intel Foundry – de pionier in de industrie op het gebied van High NA EUV – zal in staat zijn om nooit eerder vertoonde precisie en schaalbaarheid in chipfabricage te leveren. Hierdoor kan het bedrijf chips ontwikkelen met de meest innovatieve functies en mogelijkheden die essentieel zijn voor het stimuleren van vooruitgang in AI en andere opkomende technologieën. ASML heeft onlangs aangekondigd dat het de allereerste 10 nanometer (nm) dichte lijnen heeft geprint in het High NA lab in het hoofdkantoor in Veldhoven, Nederland. Dit zijn de fijnste lijnen die ooit zijn geprint, waarmee een wereldrecordresolutie is bereikt voor een EUV-lithografiescanner. Deze demonstratie valideert het innovatieve High NA EUV optiekontwerp van ASML-partner Zeiss. Er werden baanbrekende beelden geprint nadat de optiek, sensoren en stages van de tool een grove kalibratie hadden voltooid – een opstap naar het werken op volle specificatie. ASML’s vermogen om 10 nm dichte lijnen te printen met een full field optisch lithografiesysteem is een belangrijke stap in de voorbereiding van de High NA EUV tool voor commercieel gebruik. Hoe het werkt: In combinatie met Intel Foundry’s andere toonaangevende procestechnologieën, zal High NA EUV naar verwachting in staat zijn om elementen te printen die tot 1,7x kleiner zijn dan bestaande EUV tools. Dit maakt 2D feature scaling mogelijk, wat resulteert in 2,9x meer dichtheid. Intel blijft de weg wijzen naar steeds kleinere, steeds dichtere patronen die de Wet van Moore in de halfgeleiderindustrie voortstuwen. Vergeleken met 0,33NA EUV kan High NA EUV (of 0,55NA EUV) een hoger beeldcontrast leveren voor vergelijkbare features, waardoor minder licht per belichting nodig is en waardoor de tijd die nodig is om elke laag te printen wordt verkort en de wafer output toeneemt. Intel verwacht zowel 0,33NA EUV als 0,55NA EUV te gebruiken naast andere lithografieprocessen bij de ontwikkeling en productie van geavanceerde chips, te beginnen met product proof points op Intel 18A in 2025 en doorlopend naar de productie van Intel 14A. Intel’s aanpak zal de geavanceerde procestechnologie optimaliseren voor zowel kosten als prestaties.

» Meer bedrijfsnieuws