Cybergangi Turla i Sofacy stosują taki sam schemat działania

Wyniki nowego badania Kaspersky Lab zostały przedstawione w przeglądzie ewolucji oraz aktywności czterech aktywnych podgrup zaliczanych do gangu Turla. 

KopiLuwak (nazwa pochodzi od rzadkiego gatunku kawy) został po raz pierwszy wykryty w listopadzie 2016 r. Szkodnik dostarczał dokumenty ze szkodliwym oprogramowaniem oraz włączoną obsługą makr, które pobierały na maszynę ofiary nowe, starannie zamaskowane narzędzie, którego celem było przeprowadzenie rekonesansu systemu i sieci. 

Najnowszy etap ewolucji KopiLuwaka miał miejsce w połowie 2018 r., gdy badacze zidentyfikowali nowe cele tego szkodnika w Syrii i Afganistanie. Ugrupowanie Turla zastosowało nową technikę - spersonalizowane wiadomości phishingowe z wykorzystaniem skrótów systemu Windows (pliki .LNK). Analiza wykazała, że plik LNK zawierał wiersz polecenia PowerShell, którego celem było odszyfrowanie i umieszczenie na komputerze ofiary szkodliwej funkcji. Skrypt był niemal identyczny jak ten wykorzystywany miesiąc wcześniej przez gang Zebrocy.

Badacze ustalili również, że cele tych dwóch ugrupowań cyberprzestępczych w pewnym stopniu pokrywają się i mają charakter polityczny - obejmowały one między innymi rządowe placówki zajmujące się badaniami i bezpieczeństwem, misje dyplomatyczne oraz obiekty wojskowe, głównie w Azji Środkowej. 

W 2018 roku cele podgrup związanych ze szkodliwym oprogramowaniem Turla były zlokalizowane na Bliskim Wschodzie oraz w Afryce Północnej, jak również w niektórych częściach Europy Zachodniej i Wschodniej, Azji Środkowej i Południowej oraz w Ameryce Północnej i Południowej.

"Turla to jedno z najstarszych, najdłużej działających i najsprawniejszych spośród znanych ugrupowań cyberprzestępczych, które charakteryzuje się ciągłą ewolucją oraz testowaniem innowacji i nowych podejść. Nasze badanie dotyczące jego głównych podgrup w 2018 r. pokazuje, że ugrupowanie to wciąż odnawia się i eksperymentuje. Warto jednak zauważyć, że podczas gdy inne rosyjskojęzyczne cybergangi, takie jak CozyDuke (APT29) oraz Sofacy, atakowały organizacje na zachodzie, czego przykładem jest m.in. atak na Krajowy Komitet Partii Demokratycznej w Stanach Zjednoczonych w 2016 r., grupa Turla spokojnie kierowała swoją uwagę na wschód, gdzie jej aktywność, a ostatnio nawet techniki rozprzestrzeniania, zaczęły pokrywać się z podgrupą Zebrocy należącą do gangu Sofacy. Z naszego badania wynika, że ugrupowanie Turla nadal rozwija i implementuje kod, a organizacje, które uważają, że mogą stanowić jego cel, powinny się na to przygotować" – powiedział Kurt Baumgartner, główny badacz ds. cyberbezpieczeństwa, Kaspersky Lab. 

Organizacjom, które chcą ograniczyć ryzyko znalezienia się wśród ofiar zaawansowanych ataków ukierunkowanych, Kaspersky Lab zaleca rozważenie następujących działań:

- Korzystanie ze sprawdzonego rozwiązania bezpieczeństwa klasy korporacyjnej w połączeniu z technologiami umożliwiającymi zwalczanie ataków ukierunkowanych oraz analizą zagrożeń. Rozwiązania takie potrafią zidentyfikować i przechwycić zaawansowane ataki ukierunkowane poprzez analizę anomalii sieciowych oraz zapewnić zespołom ds. cyberbezpieczeństwa pełną widoczność sieci oraz automatyzację reakcji.  

- Zapewnienie personelowi odpowiedzialnemu za bezpieczeństwo dostępu do najnowszych danych analizy zagrożeń, które wyposażą go w pomocne narzędzia służące do badania i zapobiegania atakom ukierunkowanym, takie jak oznaki włamania (IoC), reguły YARA oraz zindywidualizowane raporty dotyczące zaawansowanych zagrożeń.   

- Wdrożenie procesów zarządzania łatami i dokładne sprawdzanie wszystkich konfiguracji systemowych, jak również stosowanie najlepszych praktyk odnośnie bezpieczeństwa. 

- W przypadku rozpoznania wczesnych sygnałów wskazujących na atak ukierunkowany należy rozważyć zastosowanie usługi ochrony, które umożliwią proaktywne wykrywanie zaawansowanych zagrożeń, ograniczą czas ich obecności w systemie oraz zapewnią niezwłoczną reakcję na incydent.