Pressmeddelande -
Kaspersky Lab avslöjar infekteringsmetod för sofistikerat cyberspionage
Cyberhotet Epic är första fasen i en avancerad infekteringsmetod i flera steg och en del av de cyberspionageattacker mot bland annat statliga organisationer som avslöjades tidigare i år under namnet Turla.
Turla (även kallad Snake och Uroburos) är en av de mest sofistikerade, fortfarande pågående, cyberspionagekampanjerna som hittills har påträffats. Det rör sig om avancerade och riktade attacker av typen APT (advanced persistent threat). När Turla först blev känt tidigare i år var det oklart hur offren infekterades. Ny forskning från Kaspersky Lab visar att cyberhotet Epic utgör det första steget i Turlas infekteringsmetod.
Måltavlor
Epic har varit verksamt sedan åtminstone 2012, med högst
aktivitet i januari-februari i år. Kaspersky Lab noterade en attack mot en av
sina användare så sent som 5 augusti i år.
Måltavlorna är främst statliga organisationer (inrikes- och utrikesministerier, ministerier för handelsfrågor, underrättelsetjänster), ambassader, militären, forsknings- och utbildningsorganisationer, samt läkemedelsföretag. Flest offer finns i Europa och Mellanöstern men flera offer finns även i andra regioner, bland annat i USA. Kaspersky Lab har identifierat hundratals drabbade IP-adresser i fler än 45 länder. Flest offer finns i Frankrike.
Attackerna
Kaspersky Labs experter upptäckte att angriparna bakom Epic/Turla använder nolldagssårbarheter,
social ingenjörskonst och vattenhålsattacker för att infektera sina offer. Två
av de nolldagssårbarheter som har utnyttjats är Escalation of Privileges (EoP)
i Windows XP och Windows Server 2003 (CVE-2013-5065) som ger bakdörren hos Epic
administratörsrättigheter i det angripna systemet, samt en sårbarhet i Adobe
Reader (CVE-2013-3346) som används i skadliga bilagor i mejl.
Så fort en användare öppnar ett skadlig PDF-fil i ett oskyddat system infekteras datorn vilket ger angriparna omedelbar och full kontroll över systemet.
Infekteringsmetod
Kaspersky Labs forskning visar att angriparna använder ett skadligt program hos
Epic för att installera en mer sofistikerad bakdörr i det infekterade systemet.
Denna är känd som Cobra/Carbon, eller Pfinet som den betecknas av vissa antivirusprogram.
Efter en tid används Epic igen av angriparna för att uppdatera Pfinets
konfigurationsfil med en annan uppsättning kontrollservrar. Den unika kunskapen
som krävs för att hantera båda bakdörrarna visar på ett tydligt samband mellan
dem.
– Konfigurationsuppdateringarna för det skadliga programmet i Carbonsystemet är intressant eftersom det är ett annat projekt inom Turla. Det tyder på att vi har att göra med en infekteringsmetod i flera steg som inleds med Epic/Turla för att få ett fotfäste och bekräfta att offret är av intresse. I nästa steg sker en uppgradering till det kompletta Turla/Carbon-systemet, förklarar Costin Raiu, chef för Kaspersky Labs globala forskningsteam.
Angriparna
Angriparna bakom Turla har uppenbarligen inte engelska som modersmål (eller
så vill de vilseleda andra om sitt ursprung). Det förekommer ofta stavfel i ord
och uttryck, till exempel:
- Password it´s wrong!
- File is not exists
File is exists for edit
Flera ledtrådar pekar dock på att angriparna har ryskt ursprung. En del av de bakdörrar som används i attackerna bygger på ett system med ryskt språk. Dessutom är det interna namnet på en av Epics bakdörrar "Zagruzchik.dll", vilket betyder ”ladda program” på ryska. Till sist är den övergripande kontrollpanelen för Epic inställd på kodsidan Windows-1251 som används för kyrilliska bokstäver.
För mer information om Epic/Turla och hur attackerna går till, läs här.
Mediekontakt: Bite, 08-402 01 00, kaspersky@biteglobal.com
Ämnen
- Data, Telekom, IT
Kategorier
- kaspersky lab
- infektering
- cyberhot
- cyberattack
- cyberspionage
- turla
- epic
Om Kaspersky
Lab
Kaspersky Lab är världens största privatägda leverantör
av klientsäkerhetslösningar. Företaget rankas bland världens fyra främsta
leverantörer av säkerhetslösningar för klientanvändare*. Kaspersky Lab har
under 16 år varit en innovatör inom IT-säkerhet och förser konsumenter, samt
små och stora företag, med effektiva digitala säkerhetslösningar. Företaget,
med sitt holdingbolag registrerat i Storbritannien, är för nuvarande verksamt i
nästan 200 länder och ger skydd åt över 300 miljoner användare över hela
världen. Läs mer på www.kaspersky.se.
* Företaget rankades på fjärde plats i IDC:s Worldwide Endpoint Security Revenue by Vendor, 2012. Rankingen publicerades i IDC:s rapport Worldwide IT Security Products 2013-2017 Forecast and 2012 Vendor Shares (IDC #242618, August 2013). Rapporten rangordnar programleverantörer efter försäljningsintäkter från klientsäkerhetslösningar under 2012.