Kaspersky Lab svela le criticità e i metodi operativi adottati dai criminali informatici che hanno messo a segno l’operazione di cyber-spionaggio Epic Turla, che ha colpito 45 Paesi in Europa e in Medio Oriente, Italia compresa. Gli obiettivi di questa campagna sono gli enti pubblici (Ministero dell’Interno, Ministero del Commercio, Ministero degli Affari Esteri, agenzie di intelligence), ambasciate, forze armate, istituti di ricerca e istruzione e aziende farmaceutiche.
Di fatto, l’operazione “Epic” rappresenta la prima fase dell’infezione multistadio della campagna Turla, nota anche come Snake o Uroburos. Si tratta di una campagna, attualmente in corso, tra le più sofisticate e che include tre fasi principali:
• Epic Turla/Tavdig: la prima fase del processo di infezione.
• Cobra Carbon System/Pfinet (e altri): aggiornamenti intermedi e plugin di comunicazione.
• Snake/Uroburos: piattaforma malware di livello molto alto che include un rootkit e file system virtuali.
Il progetto “Epic” è stato usato sin dal 2012, con il livello più alto di attività registrato nei mesi di gennaio e febbraio del 2014. Più recentemente, Kaspersky Lab ha rilevato questo tipo di attacco contro uno dei suoi utenti il 5 Agosto 2014.
La maggior parte delle vittime si trovano in Medio Oriente e in Europa, ma alcune sono state individuate anche in altri paesi, tra cui gli Stati Uniti. In totale, gli esperti contano diverse centinaia di indirizzi IP vittime della campagna, l’Italia è al tredicesimo posto della classifica dei Paesi vittime di questo massiccio attacco di cyber-spionaggio.
Per infettare le vittime, i criminali che si celano dietro a Epic Turla, utilizzano attacchi del tipo exploit zero-day, di social engineering e tecniche di watering hole.
In passato, sono stati utilizzati almeno due exploit zero-day: uno per la Escalation of Privileges (EOP) in Windows XP e Windows Server 2003 (CVE-2013-5065), che permette alla backdoor Epic di ottenere i privilegi di amministratore di sistema ed operare senza restrizioni; l’altro è un exploit in Adobe Reader (CVE-2013-3346), che viene utilizzato all’interno di allegati di posta elettronica nocivi.
Ogni volta che l’utente, ignaro di tutto, apre un file PDF dannoso su un sistema vulnerabile, la macchina verrà automaticamente infettata, permettendo al criminale di ottenere il controllo immediato e completo del sistema. Per infettare le vittime i criminali utilizzano sia le email spear-phishing dirette che gli attacchi watering hole. Gli attacchi identificati in questa operazione si dividono in diverse categorie a seconda del vettore di infezione iniziale utilizzato per danneggiare la vittima:
● Spear-phishing e-mail con exploit Adobe PDF (CVE-2013-3346 + CVE-2013-5065)
● Social engineering per ingannare l’utente e spingerlo ad attivare gli installer del malware con estensione “SCR”, a volte archiviati in RAR
● Attacchi watering hole utilizzando exploit Java (CVE-2012-1723), exploit di Adobe Flash (sconosciuti) o exploit di Internet Explorer 6, 7, 8 (sconosciuti)
● Attacchi watering hole che si basano su tecniche di social engineering per ingannare l’utente spingendolo ad attivare falsi “Flash Player” installer di malware
I watering hole sono siti comunemente visitati dalle potenziali vittime. Questi siti vengono anticipatamente compromessi dai criminali e infettati per distribuire codici dannosi. A seconda dell’indirizzo IP del visitatore (per esempio, l’IP di un’organizzazione governativa), gli attaccanti distribuiscono Java o browser exploit, falsi software di Adobe Flash Player o una versione falsa di Microsoft Security Essentials. In totale, abbiamo osservato più di 100 siti web compromessi. La scelta dei siti web riflette l’interesse specifico dei criminali. Ad esempio, molti dei siti spagnoli che sono stati infettati appartengono ai governi locali.
Una volta che l’utente viene infettato, la backdoor Epic si connette immediatamente al server di comando e controllo (C&C) per inviare un pacchetto con le informazioni del sistema della vittima. La backdoor è anche conosciuta come “WorldCupSec”, “TadjMakhal”, “Wipbot” o “Tadvig”.
Quando il sistema è stato compromesso, i criminali ricevono brevi informazioni di riepilogo dalla vittima, e sulla base di queste informazioni, inviano file batch preconfigurati contenenti una serie di comandi per l’esecuzione. Oltre a questo, i criminali fanno l’upload di strumenti di supporto. Questi includono uno specifico keylogger tool, un archiviatore RAR ed utility standard come un tool di query DNS di Microsoft.
Durante l’indagine, i ricercatori di Kaspersky Lab hanno osservato come i criminali usassero il malware Epic per distribuire una backdoor più sofisticata conosciuta come “Cobra/Carbon system”, chiamata anche “Pfinet” da alcuni prodotti anti-virus. Dopo qualche tempo, i criminali si sono spinti oltre e hanno utilizzato l’impianto Epic per aggiornare il file di configurazione “Carbon” con un diverso set di server C&C. Le unicità nel modo di operare di queste due backdoor indicano una connessione chiara e diretta tra loro.
È infine interessante notare come siano stati individuati possibili connessioni con diverse campagne di cyber-spionaggio. Nel febbraio 2014, gli esperti di Kaspersky Lab hanno osservato come Miniduke usava le stesse web-shell per gestire i server web infetti, utilizzate dal team di Epic.
Costin Raiu, Director of the Global Research e Analysis Team di Kaspersky Lab
Gli aggiornamenti di configurazione per il malware ‘Carbon system’ sono molto interessanti, perché rappresentano un altro progetto legato al team che si cela dietro Turla. Ciò indica che si tratta di un’infezione multistadio che inizia proprio con Epic Turla. Epic Turla viene utilizzato per ottenere un punto d’appoggio e per confermare l’alto profilo della vittima. Se la vittima è interessante, viene aggiornata con tutto il sistema Turla Carbon.